その他のログオン/ログオフ イベントの監査Audit Other Logon/Logoff Events

適用対象Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

他のログオン/ログオフイベントの監査では、他のログオンイベントやログオフイベントに対して監査イベントが生成されるかどうかを確認します。Audit Other Logon/Logoff Events determines whether Windows generates audit events for other logon or logoff events.

その他のログオンまたはログオフイベントには、次のようなものがあります。These other logon or logoff events include:

  • リモートデスクトップセッションが接続または切断されます。A Remote Desktop session connects or disconnects.

  • ワークステーションがロックまたはロック解除されている。A workstation is locked or unlocked.

  • スクリーンセーバーが呼び出されるか、閉じられます。A screen saver is invoked or dismissed.

  • リプレイ攻撃が検出されました。A replay attack is detected. このイベントは、Kerberos 要求が同一の情報で2回受信されたことを示します。This event indicates that a Kerberos request was received twice with identical information. この状況は、ネットワークの構成の誤りが原因である可能性もあります。This condition could also be caused by network misconfiguration.

  • ユーザーには、ワイヤレスネットワークへのアクセスが許可されています。A user is granted access to a wireless network. これは、ユーザーアカウントまたはコンピューターアカウントのいずれかになります。It can be either a user account or the computer account.

  • ユーザーには、ワイヤード 802.1 x ネットワークへのアクセスが許可されています。A user is granted access to a wired 802.1x network. これは、ユーザーアカウントまたはコンピューターアカウントのいずれかになります。It can be either a user account or the computer account.

ログオンイベントは、ユーザーのアクティビティを把握し、潜在的な攻撃を検出するために不可欠です。Logon events are essential to understanding user activity and detecting potential attacks.

イベントの音量: 低。Event volume: Low.

コンピュータの種類Computer Type 一般的な成功General Success 一般的なエラーGeneral Failure より強力な成功Stronger Success より強力なエラーStronger Failure コメントComments
ドメインコントローラーDomain Controller Yes Yes Yes Yes 成功の監査をお勧めします。これには、Kerberos リプレイ攻撃、ターミナルセッション接続と切断アクション、ネットワーク認証イベント、その他のイベントを追跡することが推奨されます。We recommend Success auditing, to track possible Kerberos replay attacks, terminal session connect and disconnect actions, network authentication events, and some other events. 通常、これらのイベントの量は非常に少なくなっています。Volume of these events is typically very low.
要求された資格情報CredSSPの委任がポリシーによって許可されていない場合は、失敗イベントが表示されます。Failure events will show you when requested credentials CredSSP delegation was disallowed by policy. これらのイベントの量は非常に少なくなっています。通常、これらのイベントは取得されません。The volume of these events is very low—typically you will not get any of these events.
メンバーサーバーMember Server Yes Yes Yes Yes 成功の監査をお勧めします。ターミナルセッションの接続と切断の操作、ネットワーク認証イベント、その他のイベントを追跡できます。We recommend Success auditing, to track possible terminal session connect and disconnect actions, network authentication events, and some other events. 通常、これらのイベントの量は非常に少なくなっています。Volume of these events is typically very low.
要求された資格情報CredSSPの委任がポリシーによって許可されていない場合は、失敗イベントが表示されます。Failure events will show you when requested credentials CredSSP delegation was disallowed by policy. これらのイベントの量は非常に少なくなっています。通常、これらのイベントは取得されません。The volume of these events is very low—typically you will not get any of these events.
クレスWorkstation Yes Yes Yes Yes 成功の監査をお勧めします。ターミナルセッションの接続と切断の操作、ネットワーク認証イベント、その他のイベントを追跡できます。We recommend Success auditing, to track possible terminal session connect and disconnect actions, network authentication events, and some other events. 通常、これらのイベントの量は非常に少なくなっています。Volume of these events is typically very low.
要求された資格情報CredSSPの委任がポリシーによって許可されていない場合は、失敗イベントが表示されます。Failure events will show you when requested credentials CredSSP delegation was disallowed by policy. これらのイベントの量は非常に少なくなっています。通常、これらのイベントは取得されません。The volume of these events is very low—typically you will not get any of these events.

イベントリスト:Events List:

  • 4649: リプレイ攻撃が検出されました。4649(S): A replay attack was detected.

  • 4778: セッションはウィンドウステーションに再接続されました。4778(S): A session was reconnected to a Window Station.

  • 4779: セッションはウィンドウステーションから切断されました。4779(S): A session was disconnected from a Window Station.

  • 4800: ワークステーションはロックされていました。4800(S): The workstation was locked.

  • 4801: ワークステーションのロックが解除されました。4801(S): The workstation was unlocked.

  • 4802: スクリーンセーバーが呼び出されました。4802(S): The screen saver was invoked.

  • 4803: スクリーンセーバーは閉じられました。4803(S): The screen saver was dismissed.

  • 5378(F): 要求された資格情報の委任はポリシーによって許可されていません。5378(F): The requested credentials delegation was disallowed by policy.

  • 5632: ワイヤレスネットワークへの認証要求が行われました。5632(S): A request was made to authenticate to a wireless network.

  • 5633: ワイヤード (有線) ネットワークへの認証要求が行われました。5633(S): A request was made to authenticate to a wired network.