イベントログ「セキュリティ」について_Security(eventlog-2)

イベントログの「セキュリティ」は、ユーザのログオン・ログオフの履歴が記録される。

アカウント名:コンピュータ名$セキュリティID;コンピュータ名\ユーザ名

イベントID(Windows10)

4624/4625ローカルログオンの成功/失敗
4634アカウントがログオフ(セッションが終了し、もう存在しなくなったことを示す)
4647アカウントがログオフ(ユーザがログオフの開始)
4648 明示的な資格情報を使用して、ログオンが試行されました。
(スケジュールタスク、または”RUNAS”コマンドを使用するときに、発生する)

ログオンタイプの種類( そのコンピュータに 、どのようにしてログインしたか記録される)

ログオンタイプ説明
このコンピュータからログイン(対面でのログイン)
ネットワーク経由でのログイン
( モートデスクトップ,ADなどの場合にまず最初に記録される )
ユーザーが直接操作しなくても、プロセスがユーザーの代わりに実行されてログイン(タスクスケジューラ等のログイン)
サービスがサービスコントロールマネージャによってのログイン
ロック解除のログイン
パスワードが暗号化されていない平文で認証 、かつネットワーク経由でのログイン
ログオンユーザとは別のパスワードを使用したログイン
10ユーザがターミナルサービスまたはリモートデスクトップを使って、リモートでこのコンピュータにログイン
11 コンピューターにローカルに保存されているネットワーク資格情報(キャッシュ)を使用して、このコンピューターにログイン

セキュリティ
スポンサーリンク
takeをフォローする
スポンサーリンク
サイバー・セキュリティ・フォレンジック 備忘録

コメント

タイトルとURLをコピーしました