イベントログの「セキュリティ」は、ユーザのログオン・ログオフの履歴が記録される。
アカウント名:コンピュータ名$セキュリティID;コンピュータ名\ユーザ名
イベントID(Windows10)
| 4624/4625 | ローカルログオンの成功/失敗 |
| 4634 | アカウントがログオフ(セッションが終了し、もう存在しなくなったことを示す) |
| 4647 | アカウントがログオフ(ユーザがログオフの開始) |
| 4648 | 明示的な資格情報を使用して、ログオンが試行されました。 (スケジュールタスク、または”RUNAS”コマンドを使用するときに、発生する) |
ログオンタイプの種類( そのコンピュータに 、どのようにしてログインしたか記録される)
| ログオンタイプ | 説明 |
| 2 | このコンピュータからログイン(対面でのログイン) |
| 3 | ネットワーク経由でのログイン ( モートデスクトップ,ADなどの場合にまず最初に記録される ) |
| 4 | ユーザーが直接操作しなくても、プロセスがユーザーの代わりに実行されてログイン(タスクスケジューラ等のログイン) |
| 5 | サービスがサービスコントロールマネージャによってのログイン |
| 7 | ロック解除のログイン |
| 8 | パスワードが暗号化されていない平文で認証 、かつネットワーク経由でのログイン |
| 9 | ログオンユーザとは別のパスワードを使用したログイン |
| 10 | ユーザがターミナルサービスまたはリモートデスクトップを使って、リモートでこのコンピュータにログイン |
| 11 | コンピューターにローカルに保存されているネットワーク資格情報(キャッシュ)を使用して、このコンピューターにログイン |
コメント