付録C.6 Windowsイベントログ(セキュリティ)の監査ログ出力情報(Windows Server 2008の場合)

ここでは,Windows Server 2008の場合のWindowsイベントログ(セキュリティ)の監査ログ出力情報を次の表に示します。

表C-10 Windowsイベントログ(セキュリティ)の監査ログ出力情報(Windows Server 2008の場合)

項番Windows
イベントログ
共通部固有部
イベントIDメッセージ内容メッセージID ※1コンポーネント名監査事象種別監査事象結果サブジェクト種別サブジェクト情報objopobjloc:from
14624ログオンの成功4624ACEFHOSLogonK
24625ログオンの失敗4625ACEFIOSLogonK
34634ユーザのログオフ4634ACEFJOSLogoffL
44720ユーザアカウントの作成4720BDEGJOSUserAddM
54722ユーザアカウントの有効化4722BDEGJOSUserChangeM
64723パスワード変更4723BDEGJOSUserChangeM
74724ユーザアカウントパスワードの設定4724BDEGJOSUserChangeM
84725ユーザアカウントパスワードの無効化4725BDEGJOSUserChangeM
94726ユーザアカウントの削除4726BDEGJOSUserDeleteM
104727セキュリティが有効なグローバルグループの作成4727BDEGJOSGGrpAddM
114728セキュリティが有効なグローバルグループメンバの追加4728BDEGJOSGGrpUserAddM
124729セキュリティが有効なグローバルグループメンバの削除4729BDEGJOSGGrpUserDeleteM
134730セキュリティが有効なグローバルグループの削除4730BDEGJOSGGrpDeleteM
144731セキュリティが有効なローカルグループの作成4731BDEGJOSGGrpAddM
154732セキュリティが有効なローカルグループメンバの追加4732BDEGJOSGGrpUserAddM
164733セキュリティが有効なローカルグループメンバの削除4733BDEGJOSGGrpUserDeleteM
174734セキュリティが有効なローカルグループの削除4734BDEGJOSGGrpDeleteM
184735セキュリティが有効なローカルグループの変更4735BDEGJOSGGrpChangeM
194737セキュリティが有効なグローバルグループの変更4737BDEGJOSGGrpChangeM
204738ユーザアカウントの変更4738BDEGJOSUserChangeM
214740ユーザアカウントのロックアウト4740BDEGJOSUserChangeM
224744セキュリティが無効なローカルグループの作成4744BDEGJOSGGrpAddM
234745セキュリティが無効なローカルグループの変更4745BDEGJOSGGrpChangeM
244746セキュリティが無効なローカルグループメンバの追加4746BDEGJOSGGrpUserAddM
254747セキュリティが無効なローカルグループメンバの削除4747BDEGJOSGGrpUserDeleteM
264748セキュリティが無効なローカルグループの削除4748BDEGJOSGGrpDeleteM
274749セキュリティが無効なグローバルグループの作成4749BDEGJOSGGrpAddM
284750セキュリティが無効なグローバルグループの変更4750BDEGJOSGGrpChangeM
294751セキュリティが無効なグローバルグループメンバの追加4751BDEGJOSGGrpUserAddM
304752セキュリティが無効なグローバルグループメンバの削除4752BDEGJOSGGrpUserDeleteM
314753セキュリティが無効なグローバルグループの削除4753BDEGJOSGGrpDeleteM
324754セキュリティが有効なユニバーサルグループの作成4754BDEGJOSGGrpAddM
334755セキュリティが有効なユニバーサルグループの変更4755BDEGJOSGGrpChangeM
344756セキュリティが有効なユニバーサルグループメンバの追加4756BDEGJOSGGrpUserAddM
354757セキュリティが有効なユニバーサルグループメンバの削除4757BDEGJOSGGrpUserDeleteM
364758セキュリティが有効なユニバーサルグループの削除4758BDEGJOSGGrpDeleteM
374759セキュリティが無効なユニバーサルグループの作成4759BDEGJOSGGrpAddM
384760セキュリティが無効なユニバーサルグループの変更4760BDEGJOSGGrpChangeM
394761セキュリティが無効なユニバーサルグループメンバの追加4761BDEGJOSGGrpUserAddM
404762セキュリティが無効なユニバーサルグループメンバの削除4762BDEGJOSGGrpUserDeleteM
414763セキュリティが無効なユニバーサルグループの削除4763BDEGJOSGGrpDeleteM
(凡例)
A:LogonEvent(コンポーネント名)
B:AccountManagement(コンポーネント名)
C:Authentication(監査事象種別)
D:ConfigurationAccess(監査事象種別)
E:SuccessまたはFailure(監査事象結果)※2
F:実行ユーザID(サブジェクト種別)
G:ユーザID(サブジェクト種別)
H:新しいログオン:アカウント名(サブジェクト情報)
I:ログオンを失敗したアカウント:アカウント名(サブジェクト情報)
J:サブジェクト:アカウント名(サブジェクト情報)
K:ネットワーク情報:ワークステーション名(固有部のobjloc:from)
L:出力項目名ごとなし(固有部のobjloc:from)
M:サブジェクト:アカウントドメイン(固有部のobjloc:from)
注※1
JP1イベントの拡張属性の固有情報A5の値です。
注※2
SuccessかFailureかどうかは,JP1イベントの拡張属性の固有情報A3の値によって判断します。固有情報A3の値が「Audit_Success」の場合はSuccess,「Audit_Failure」の場合はFailureを設定します。

なお,次の表に示す項目はWindowsイベントログのすべてのイベントIDで共通です。

表C-11 Windowsイベントログ(セキュリティ)の監査ログ出力情報の共通項目(Windows Server 2008の場合)

共通部固有部
監査ログID日時プログラム名プロセスID発生場所出力項目名なしで出力するもの※1
0発生日時※2Windows値なしコンピュータ名※3ログの残りの部分
注※1
適当な出力項目名がないログの項目または正規化できないログの項目を指します。
注※2
JP1イベントの拡張属性の固有情報A0の値です。
注※3
JP1イベントの拡張属性の固有情報A1の値です。