JP1/NETM/Audit 構築・運用ガイド

付録E.5　Windowsイベントログ（セキュリティに関する情報）の監査ログ出力情報（Windows Server 2003およびWindows XPの場合）

ここでは，Windows Server 2003およびWindows XPの場合のWindowsイベントログ（セキュリティ）の監査ログ出力情報を次の表に示します。

表E-10　Windowsイベントログ（セキュリティ）の監査ログ出力情報（Windows Server 2003およびWindows XPの場合）

項番 Windows
イベントログ共通部固有部

イベントID メッセージ内容メッセージID^※1 コンポーネント名監査事象種別監査事象結果サブジェクト種別サブジェクト情報 obj op objloc:from

1 528 ログオンの成功 528 A C E F H OS Logon J

2 529 ログオンの失敗，
ユーザ名が不明またはパスワードが無効 529 A C E F H OS Logon J

3 530 ログオンの失敗
アカウントログオン時間の制限違反 530 A C E F H OS Logon J

4 531 ログオンの失敗
アカウントが無効 531 A C E F H OS Logon J

5 532 ログオンの失敗
指定されたユーザアカウントの有効期限切れ 532 A C E F H OS Logon J

6 533 ログオンの失敗
ユーザはこのコンピュータへのログオンを許可されていない 533 A C E F H OS Logon J

7 534 ログオンの失敗
要求された種類のログオンは，このコンピュータではユーザに許可されていない 534 A C E F H OS Logon J

8 535 ログオンの失敗
指定されたアカウントのパスワードの有効期限切れ 535 A C E F H OS Logon J

9 536 ログオンの失敗
NetLogonコンポーネントがアクティブではない 536 A C E F H OS Logon J

10 537 ログオンの失敗
ログオン時に予期されていないエラーが発生 537 A C E F H OS Logon J

11 538 ユーザのログオフ 538 A C E F H OS Logon K

12 539 ログオンの失敗
アカウントのロックアウト 539 A C E F H OS Logon J

13 540 ネットワークログオンの成功 540 A C E F H OS NetworkLogon J

14 624 ユーザアカウントの作成 624 B D E G I OSUser Add K

15 626 ユーザアカウントの有効化 626 B D E G I OSUser Change L

16 627 パスワード変更 627 B D E G I OSUser Change L

17 628 ユーザアカウントパスワードの設定 628 B D E G I OSUser Change L

18 629 ユーザアカウントの無効化 629 B D E G I OSUser Change L

19 630 ユーザアカウントの削除 630 B D E G I OSUser Delete L

20 631 セキュリティが有効なグローバルグループの作成 631 B D E G I OSGGrp Add L

21 632 セキュリティが有効なグローバルグループメンバの追加 632 B D E G I OSGGrpUser Add L

22 633 セキュリティが有効なグローバルグループメンバの削除 633 B D E G I OSGGrpUser Delete L

23 634 セキュリティが有効なグローバルグループの削除 634 B D E G I OSGGrp Delete L

24 635 セキュリティが有効なローカルグループの作成 635 B D E G I OSLGrp Add L

25 636 セキュリティが有効なローカルグループメンバの追加 636 B D E G I OSLGrpUser Add L

26 637 セキュリティが有効なローカルグループメンバの削除 637 B D E G I OSLGrpUser Delete L

27 638 セキュリティが有効なローカルグループの削除 638 B D E G I OSLGrp Delete L

28 639 セキュリティが有効なローカルグループの変更 639 B D E G I OSLGrp Change L

29 641 セキュリティが有効なグローバルグループの変更 641 B D E G I OSGGrp Change L

30 642 ユーザアカウントの変更 642 B D E G I OSUser Change L

31 644 ユーザアカウントのロックアウト 644 B D E G I OSUser Change L

（凡例）

A：LogonEvent（コンポーネント名）

B：AccountManagement（コンポーネント名）

C：Authentication（監査事象種別）

D：ConfigurationAccess（監査事象種別）

E：SuccessまたはFailure（監査事象結果）^※2

F：実行ユーザID（サブジェクト種別）

G：ユーザID（サブジェクト種別）

H：ユーザ名（サブジェクト情報）

I：呼び出し側のユーザ名（サブジェクト情報）

J：ワークステーション名（固有部のobjloc:from）

K：出力項目名ごとなし（固有部のobjloc:from）

L：呼び出し側ドメイン（固有部のobjloc:from）

注※1

JP1イベントの拡張属性の固有情報A5の値です。

注※2

SuccessかFailureかどうかは，JP1イベントの拡張属性の固有情報A3の値によって判断されます。固有情報A3の値が「Audit_Success」の場合はSuccess，「Audit_Failure」の場合はFailureが設定されます。

なお，次の表に示す項目はWindowsイベントログのすべてのイベントIDで共通です。

表E-11　Windowsイベントログ（セキュリティ）の監査ログ出力情報の共通項目（Windows Server 2003およびWindows XPの場合）

共通部固有部

監査ログID 日時プログラム名プロセスID 発生場所出力項目名なしで出力するもの^※1

0 発生日時^※2 Windows 値なし コンピュータ名^※3 ログの残りの部分

注※1

適当な出力項目名がないログの項目または正規化できないログの項目を指します。

注※2

JP1イベントの拡張属性の固有情報A0の値です。

注※3

JP1イベントの拡張属性の固有情報A1の値です。

項番	Windows イベントログ	共通部	固有部
イベントID	メッセージ内容	メッセージID^※1	コンポーネント名	監査事象種別	監査事象結果	サブジェクト種別	サブジェクト情報	obj	op	objloc:from
1	528	ログオンの成功	528	A	C	E	F	H	OS	Logon	J
2	529	ログオンの失敗，ユーザ名が不明またはパスワードが無効	529	A	C	E	F	H	OS	Logon	J
3	530	ログオンの失敗アカウントログオン時間の制限違反	530	A	C	E	F	H	OS	Logon	J
4	531	ログオンの失敗アカウントが無効	531	A	C	E	F	H	OS	Logon	J
5	532	ログオンの失敗指定されたユーザアカウントの有効期限切れ	532	A	C	E	F	H	OS	Logon	J
6	533	ログオンの失敗ユーザはこのコンピュータへのログオンを許可されていない	533	A	C	E	F	H	OS	Logon	J
7	534	ログオンの失敗要求された種類のログオンは，このコンピュータではユーザに許可されていない	534	A	C	E	F	H	OS	Logon	J
8	535	ログオンの失敗指定されたアカウントのパスワードの有効期限切れ	535	A	C	E	F	H	OS	Logon	J
9	536	ログオンの失敗 NetLogonコンポーネントがアクティブではない	536	A	C	E	F	H	OS	Logon	J
10	537	ログオンの失敗ログオン時に予期されていないエラーが発生	537	A	C	E	F	H	OS	Logon	J
11	538	ユーザのログオフ	538	A	C	E	F	H	OS	Logon	K
12	539	ログオンの失敗アカウントのロックアウト	539	A	C	E	F	H	OS	Logon	J
13	540	ネットワークログオンの成功	540	A	C	E	F	H	OS	NetworkLogon	J
14	624	ユーザアカウントの作成	624	B	D	E	G	I	OSUser	Add	K
15	626	ユーザアカウントの有効化	626	B	D	E	G	I	OSUser	Change	L
16	627	パスワード変更	627	B	D	E	G	I	OSUser	Change	L
17	628	ユーザアカウントパスワードの設定	628	B	D	E	G	I	OSUser	Change	L
18	629	ユーザアカウントの無効化	629	B	D	E	G	I	OSUser	Change	L
19	630	ユーザアカウントの削除	630	B	D	E	G	I	OSUser	Delete	L
20	631	セキュリティが有効なグローバルグループの作成	631	B	D	E	G	I	OSGGrp	Add	L
21	632	セキュリティが有効なグローバルグループメンバの追加	632	B	D	E	G	I	OSGGrpUser	Add	L
22	633	セキュリティが有効なグローバルグループメンバの削除	633	B	D	E	G	I	OSGGrpUser	Delete	L
23	634	セキュリティが有効なグローバルグループの削除	634	B	D	E	G	I	OSGGrp	Delete	L
24	635	セキュリティが有効なローカルグループの作成	635	B	D	E	G	I	OSLGrp	Add	L
25	636	セキュリティが有効なローカルグループメンバの追加	636	B	D	E	G	I	OSLGrpUser	Add	L
26	637	セキュリティが有効なローカルグループメンバの削除	637	B	D	E	G	I	OSLGrpUser	Delete	L
27	638	セキュリティが有効なローカルグループの削除	638	B	D	E	G	I	OSLGrp	Delete	L
28	639	セキュリティが有効なローカルグループの変更	639	B	D	E	G	I	OSLGrp	Change	L
29	641	セキュリティが有効なグローバルグループの変更	641	B	D	E	G	I	OSGGrp	Change	L
30	642	ユーザアカウントの変更	642	B	D	E	G	I	OSUser	Change	L
31	644	ユーザアカウントのロックアウト	644	B	D	E	G	I	OSUser	Change	L

共通部	固有部
監査ログID	日時	プログラム名	プロセスID	発生場所	出力項目名なしで出力するもの^※1
0	発生日時^※2	Windows	値なし	コンピュータ名^※3	ログの残りの部分

[目次][前へ][次へ]

[他社商品名称に関する表示]

付録E.5 Windowsイベントログ（セキュリティに関する情報）の監査ログ出力情報（Windows Server 2003およびWindows XPの場合）

付録E.5　Windowsイベントログ（セキュリティに関する情報）の監査ログ出力情報（Windows Server 2003およびWindows XPの場合）