よく遭遇するかもしれませんが、 イベント ID 4624、アカウントは正常にログオンされました 定期監査中にイベント ビューアにメッセージが表示されます。 ただし、これはコンピュータに正常にログインするたびに生成される通常の Windows セキュリティ ログであるため、心配する必要はありません。 したがって、ユーザーのログイン履歴を確認する必要がある場合は、イベント ID 4624 を探す必要があります。
ただし、アカウントに見覚えがない場合、またはアカウントがハッキングされた可能性があると疑われる場合は、心配になる可能性があります。 このような場合は、イベント ビューアで Windows セキュリティ ログを適切に確認し、脅威を特定し、それに応じて排除する必要があります。
イベント ID 4624、アカウントは正常にログオンされました
そうは言っても、Windows イベント ID 4624 と問題を検出する方法についてすべてを理解するのに役立つ詳細なガイドがあります。
4624 イベント ID とは何ですか?
Windows イベント ログのイベント ID 4624 は、宛先コンピューター上で成功したすべてのログイン セッションを示します。 この監査設定は、アクセスしたマシンとセッションを作成した場所に生成されます。 したがって、誰かがあなたのコンピュータを覗き見している場合、これが探す必要があるイベント ID です。
さらに、これは、誰 (ユーザー) がどのアカウントからログオンしたかを正確に示す非常に貴重な情報です。 このために、次のことを確認できます。 新しいログオン 次の詳細を示すフィールド:
- セキュリティID
- アカウント名
- アカウントドメイン
- ログインID
ただし、以下ではイベント ID 4624 に関連する他のプロパティについても説明します。
注記 – この監査設定は、 ローカルセキュリティポリシー または グループポリシーエディター (gpedit.msc)。 次に、セキュリティ目的で監査オプションを変更して、成功したログイン試行を監視できます。 ただし、これらの設定でイベントを記録できるのはローカル コンピューター上のみであり、ドメイン コントローラー上では記録できません。
Windows イベント ID 4624 のプロパティ
イベント ID のプロパティは、 一般的な タブ。 ここには、以下のフィールドがあります。
1) 主題
セキュリティ ID (SID):
これは、ログインが成功したことを示します。
アカウント名
成功したログインを記録したアカウントの名前。 これは、正規のアカウントであるかどうかを識別するのに役立ちます。
アカウントドメイン
イベントを記録したアカウントのドメイン/コンピュータ名は、トラブルシューティングに役立ちます。
ログオンID
このイベントを、同じログオン ID を持つ可能性のある最近のイベントと関連付けるのに役立つ 16 進値を示します。 さらに、イベントの問題を特定し、それに応じてトラブルシューティングを行うのにも役立ちます。
読む: Windowsイベントログを無効にする方法
2) ログオン情報
このプロパティには次のものが含まれます。
ログオンタイプ
| ログオンタイプ | ログオンタイトル | 説明 |
|---|---|---|
0 |
System |
システムの起動時などに、システム アカウントによってのみ使用されます。 |
2 |
Interactive |
ユーザーがこのコンピュータにログオンしました。 |
3 |
Network |
ユーザーまたはコンピュータがネットワークから現在のワークステーションにログオンしました。 |
4 |
Batch |
バッチ サーバーによって使用され、ユーザーが直接関与せずにプロセスがユーザーに代わって実行される場合があります。 |
5 |
Service |
サービスはサービス コントロール マネージャーによって開始されました。 |
7 |
Unlock |
このコンピュータはロックが解除されました。 |
8 |
NetworkCleartext |
ユーザーがネットワークからこのコンピュータにログオンしました。 ユーザーのパスワードは、ハッシュされていない形式で認証パッケージに渡されました。 組み込みの認証は、ネットワーク経由で送信する前に、すべてのハッシュ認証情報をパッケージ化します。 資格情報はプレーンテキスト (クリアテキストとも呼ばれます) でネットワークを通過しません。 |
9 |
NewCredentials |
呼び出し元は現在のトークンを複製し、アウトバウンド接続用の新しい資格情報を指定しました。 新しいログオン セッションは同じローカル ID を持ちますが、他のネットワーク接続に対しては異なる資格情報を使用します。 |
10 |
RemoteInteractive |
ユーザーがターミナル サービスまたはリモート デスクトップを使用してこのコンピュータにリモート ログオンしました。 |
11 |
CachedInteractive |
ユーザーは、コンピューター上にローカルに保存されているネットワーク資格情報を使用して、このコンピューターにログオンしました。 資格情報を確認するためにドメイン コントローラーに接続されませんでした。 |
12 |
CachedRemoteInteractive |
RemoteInteractive と同じです。 これは内部監査に使用されます。 |
13 |
CachedUnlock |
ワークステーションのログオン。 |
*データ提供 – マイクロソフト
制限付き管理者モード
これは、ユーザーがターミナル サービスまたはリモート デスクトップ経由でリモート ログオンに成功した場合にのみ表示されます。 Restricted Admin Mode の値はブール値、つまり Yes または No です。
バーチャルアカウント
繰り返しますが、仮想アカウントの値は「はい」または「いいえ」のいずれかです。これは、ログオンの成功を記録したアカウントが仮想アカウントであるかどうかを示します。 たとえば、管理されたサービス アカウントです。
昇格したトークン
これも[はい]または[いいえ]フィールドで、正常なログオンを開始したアカウント (イベント ID 4624) が管理者アカウントであるかどうかを示します。
3) なりすましレベル
このフィールドは、ログイン セッションのプロセスがどの程度偽装 (シミュレート) するかを示します。 これは、サーバーがクライアントに代わってクライアントを模倣するために許可される権限のレベルです。 4 つの異なるレベルは、匿名、識別、偽装、および委任です。
読む: セキュリティ ログがいっぱいになりました (イベント ID 1104)
4) 新しい ログオン
これは、実際にログオンし、ログオン セッションが作成されたアカウントです。 コンピューター名をアカウントのドメインと比較して、それがローカルであるかドメインであるかを識別できます。 一致する場合、それはローカルです。 そうでない場合は、ドメイン アカウントです。
さらに、アカウント情報とネットワーク情報の 2 つのカテゴリに分かれています。
口座情報
- セキュリティID – Windows セキュリティ イベント ID 4624 の成功したログオンを記録した SID。
- アカウント名 – 正常なログオンを実行します。
- アカウントドメイン – ドメイン名は次のいずれかの形式になります。 NetBIOS ドメインの名前 (小文字または大文字の形式)。 ただし、アカウント ドメインが表示されている場合は、 NT 当局、ログオン アカウントが ローカルサービス または 匿名ログオン。
- ログオンID – トラブルシューティングに役立つ 16 進値が表示されます。
- リンクされたログオン ID – これもログオン セッションに関連する 16 進値です。 関連するログオン イベントがない場合、値は 0x0 になります。
- GUID – 2 つのイベント(1 つはイベント ID 4624、もう 1 つは同じ GUID)をリンクできるため、潜在的な脅威を特定するのに役立ちます。
ネットワーク情報
- ネットワークアカウント 名前 – にのみ関連する 新しい資格情報 ただし、ログオン タイプが他のものである場合、ネットワーク アカウント名は「–”。
- ネットワークアカウントドメイン – にのみ適用されます。 新しい資格情報 ログオンタイプ。 ユーザーがネットワーク接続を作成したい場合は、このフィールドで指定されたドメイン名を使用する必要があります。 ただし、ログオン タイプが他のものである場合は、「」として記録されます。–”。
5) プロセス情報
このフィールドには、成功したログオン イベントを文書化したプロセスに関する詳細が表示されます。
- プロセスID – Windows およびその他の OS がプロセスを排他的に識別するために使用する 16 進値が表示されます。 閲覧するには プロセスID Windows PC 上で現在実行中のすべてのプロセスを起動します。 パワーシェルを実行します。 取得プロセス コマンドとヒット 入力。 ここで、 プロセスID イベント ID 4624 を 10 進数に変換します。これは、プロセス ID を、 取得プロセス PowerShellコマンド。
- プロセス名 – 成功したログオンを文書化します。
読む: イベント ID 1101、監査イベントはトランスポートによって削除されました。 0
6) ネットワーク情報
このセクションでは、トラブルシューティングの目的に関連する重要な情報を提供します。 たとえば、ユーザーがどのコンピュータからログインしたか、PC の IP アドレス、使用したポートなどです。
- ワークステーション名 – ユーザーがログインした PC 名を記録します。
- 送信元ネットワークアドレス – ユーザーがログインしたPCのIPアドレスを登録します。
- 送信元ポート – ログインに使用されたリモート マシンの元の TCP ポートを記録します。
7) 詳細な認証情報
このフィールドは、認証プロセスがどのように開始されるかを表します。 認証とパッケージが使用されたプロセスの記録が保持されます。 次のような他の詳細も表示されます 中継サービス、 パッケージ名、 そして キーの長さ。
- ログオンプロセス – システムが Windows イベント ID 4624 を記録したときに、ユーザーがログオンに使用した認証済みログオン プロセスの名前が表示されます。
- 認証パッケージ – このコンピュータへのログオンに使用された認証パッケージの種類を登録します。
- 中継サービス – 送信されたサービスのみを表示します (Kerberos のみ)。
- パッケージ名 – ログオン要求が NTLM プロトコルによって認証された場合は、NTLM バージョンが文書化されます。
- キーの長さ – NTLM 認証プロトコルにのみ適用されます。 その他の場合、フィールドは次の値を返します。 0。
さらに、イベント ID 4624 に関して、Microsoft は状況に基づいて必要な監視の種類について追加の推奨事項をいくつか提供しています。
イベント ID 4625 とは何ですか?
ユーザーがローカル コンピューターへのログインに失敗すると、イベント ID 4625 が登録されます。 このイベントは、ユーザーがログインを試行した場所からデバイスに設定されます。さらに、失敗したログオンを特定するために、イベント ID 4625 の Windows イベント ログを見つけるのに役立つ PowerShell スクリプトを作成できます。
イベント ID 4634 とは何ですか?
イベント ID 4634 は、アカウントがログオフされたことを示します。 これは、ログオン セッションが終了する (ログアウトする) たびに、イベント 4634 が生成されることを意味します。 ただし、これは、ユーザーがログオフを開始したことを示すイベント ID 4647 とは異なります。 この場合、セッションが実行されなくなり、終了したことが単に登録されただけです。
