付録C.5 Windowsイベントログ(セキュリティ)の監査ログ出力情報(Windows Server 2003,Windows 2000,およびWindows XPの場合)

ここでは,Windows Server 2003,Windows 2000,およびWindows XPの場合のWindowsイベントログ(セキュリティ)の監査ログ出力情報を次の表に示します。

表C-8 Windowsイベントログ(セキュリティ)の監査ログ出力情報(Windows Server 2003,Windows 2000,およびWindows XPの場合)

項番Windows
イベントログ
共通部固有部
イベントIDメッセージ内容メッセージID ※1コンポーネント名監査事象種別監査事象結果サブジェクト種別サブジェクト情報objopobjloc:from
1528ログオンの成功528ACEFHOSLogonJ
2529ログオンの失敗,
ユーザ名が不明またはパスワードが無効
529ACEFHOSLogonJ
3530ログオンの失敗
アカウントログオン時間の制限違反
530ACEFHOSLogonJ
4531ログオンの失敗
アカウントが無効
531ACEFHOSLogonJ
5532ログオンの失敗
指定されたユーザアカウントの有効期限切れ
532ACEFHOSLogonJ
6533ログオンの失敗
ユーザはこのコンピュータへのログオンを許可されていない
533ACEFHOSLogonJ
7534ログオンの失敗
要求された種類のログオンは,このコンピュータではユーザに許可されていない
534ACEFHOSLogonJ
8535ログオンの失敗
指定されたアカウントのパスワードの有効期限切れ
535ACEFHOSLogonJ
9536ログオンの失敗
NetLogonコンポーネントがアクティブではない
536ACEFHOSLogonJ
10537ログオンの失敗
ログオン時に予期されていないエラーが発生
537ACEFHOSLogonJ
11538ユーザのログオフ538ACEFHOSLogonK
12539ログオンの失敗
アカウントのロックアウト
539ACEFHOSLogonJ
13540ネットワークログオンの成功540ACEFHOSNetworkLogonJ
14624ユーザアカウントの作成624BDEGIOSUserAddL
15626ユーザアカウントの有効化626BDEGIOSUserChangeL
16627パスワード変更627BDEGIOSUserChangeL
17628ユーザアカウントパスワードの設定628BDEGIOSUserChangeL
18629ユーザアカウントの無効化629BDEGIOSUserChangeL
19630ユーザアカウントの削除630BDEGIOSUserDeleteL
20631セキュリティが有効なグローバル グループの作成631BDEGIOSGGrpAddL
21632セキュリティが有効なグローバル グループメンバの追加632BDEGIOSGGrpUserAddL
22633セキュリティが有効なグローバル グループメンバの削除633BDEGIOSGGrpUserDeleteL
23634セキュリティが有効なグローバルグループの削除634BDEGIOSGGrpDeleteL
24635セキュリティが有効なローカルグループの作成635BDEGIOSLGrpAddL
25636セキュリティが有効なローカルグループメンバの追加636BDEGIOSLGrpUserAddL
26637セキュリティが有効なローカル グループメンバの削除637BDEGIOSLGrpUserDeleteL
27638セキュリティが有効なローカルグループの削除638BDEGIOSLGrpDeleteL
28639セキュリティが有効なローカルグループの変更639BDEGIOSLGrpChangeL
29641セキュリティが有効なグローバルグループの変更641BDEGIOSGGrpChangeL
30642ユーザアカウントの変更642BDEGIOSUserChangeL
31644ユーザアカウントのロックアウト644BDEGIOSUserChangeL
(凡例)
A:LogonEvent(コンポーネント名)
B:AccountManagement(コンポーネント名)
C:Authentication(監査事象種別)
D:ConfigurationAccess(監査事象種別)
E:SuccessまたはFailure(監査事象結果)※2
F:実行ユーザID(サブジェクト種別)
G:ユーザID(サブジェクト種別)
H:ユーザ名(サブジェクト情報)
I:呼び出し側のユーザ名(サブジェクト情報)
J:ワークステーション名(固有部のobjloc:from)
K:出力項目名ごとなし(固有部のobjloc:from)
L:呼び出し側ドメイン(固有部のobjloc:from)
注※1
JP1イベントの拡張属性の固有情報A5の値です。
注※2
SuccessかFailureかどうかは,JP1イベントの拡張属性の固有情報A3の値によって判断されます。固有情報A3の値が「Audit_Success」の場合はSuccess,「Audit_Failure」の場合はFailureが設定されます。

なお,次の表に示す項目はWindowsイベントログのすべてのイベントIDで共通です。

表C-9 Windowsイベントログ(セキュリティ)の監査ログ出力情報の共通項目(Windows Server 2003,Windows 2000,およびWindows XPの場合)

共通部固有部
監査ログID日時プログラム名プロセスID発生場所出力項目名なしで出力するもの※1
0発生日時※2Windows値なしコンピュータ名※3ログの残りの部分
注※1
適当な出力項目名がないログの項目または正規化できないログの項目を指します。
注※2
JP1イベントの拡張属性の固有情報A0の値です。
注※3
JP1イベントの拡張属性の固有情報A1の値です。