付録E.5 Windowsイベントログ(セキュリティに関する情報)の監査ログ出力情報(Windows Server 2003およびWindows XPの場合)
ここでは,Windows Server 2003およびWindows XPの場合のWindowsイベントログ(セキュリティ)の監査ログ出力情報を次の表に示します。
|
項番 |
Windows イベントログ |
共通部 |
固有部 |
||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
イベントID |
メッセージ内容 |
メッセージID ※1 |
コンポーネント名 |
監査事象種別 |
監査事象結果 |
サブジェクト種別 |
サブジェクト情報 |
obj |
op |
objloc:from |
|
|
1 |
528 |
ログオンの成功 |
528 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
2 |
529 |
ログオンの失敗, ユーザ名が不明またはパスワードが無効 |
529 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
3 |
530 |
ログオンの失敗 アカウントログオン時間の制限違反 |
530 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
4 |
531 |
ログオンの失敗 アカウントが無効 |
531 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
5 |
532 |
ログオンの失敗 指定されたユーザアカウントの有効期限切れ |
532 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
6 |
533 |
ログオンの失敗 ユーザはこのコンピュータへのログオンを許可されていない |
533 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
7 |
534 |
ログオンの失敗 要求された種類のログオンは,このコンピュータではユーザに許可されていない |
534 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
8 |
535 |
ログオンの失敗 指定されたアカウントのパスワードの有効期限切れ |
535 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
9 |
536 |
ログオンの失敗 NetLogonコンポーネントがアクティブではない |
536 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
10 |
537 |
ログオンの失敗 ログオン時に予期されていないエラーが発生 |
537 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
11 |
538 |
ユーザのログオフ |
538 |
A |
C |
E |
F |
H |
OS |
Logon |
K |
|
12 |
539 |
ログオンの失敗 アカウントのロックアウト |
539 |
A |
C |
E |
F |
H |
OS |
Logon |
J |
|
13 |
540 |
ネットワークログオンの成功 |
540 |
A |
C |
E |
F |
H |
OS |
NetworkLogon |
J |
|
14 |
624 |
ユーザアカウントの作成 |
624 |
B |
D |
E |
G |
I |
OSUser |
Add |
K |
|
15 |
626 |
ユーザアカウントの有効化 |
626 |
B |
D |
E |
G |
I |
OSUser |
Change |
L |
|
16 |
627 |
パスワード変更 |
627 |
B |
D |
E |
G |
I |
OSUser |
Change |
L |
|
17 |
628 |
ユーザアカウントパスワードの設定 |
628 |
B |
D |
E |
G |
I |
OSUser |
Change |
L |
|
18 |
629 |
ユーザアカウントの無効化 |
629 |
B |
D |
E |
G |
I |
OSUser |
Change |
L |
|
19 |
630 |
ユーザアカウントの削除 |
630 |
B |
D |
E |
G |
I |
OSUser |
Delete |
L |
|
20 |
631 |
セキュリティが有効なグローバル グループの作成 |
631 |
B |
D |
E |
G |
I |
OSGGrp |
Add |
L |
|
21 |
632 |
セキュリティが有効なグローバル グループメンバの追加 |
632 |
B |
D |
E |
G |
I |
OSGGrpUser |
Add |
L |
|
22 |
633 |
セキュリティが有効なグローバル グループメンバの削除 |
633 |
B |
D |
E |
G |
I |
OSGGrpUser |
Delete |
L |
|
23 |
634 |
セキュリティが有効なグローバルグループの削除 |
634 |
B |
D |
E |
G |
I |
OSGGrp |
Delete |
L |
|
24 |
635 |
セキュリティが有効なローカルグループの作成 |
635 |
B |
D |
E |
G |
I |
OSLGrp |
Add |
L |
|
25 |
636 |
セキュリティが有効なローカルグループメンバの追加 |
636 |
B |
D |
E |
G |
I |
OSLGrpUser |
Add |
L |
|
26 |
637 |
セキュリティが有効なローカル グループメンバの削除 |
637 |
B |
D |
E |
G |
I |
OSLGrpUser |
Delete |
L |
|
27 |
638 |
セキュリティが有効なローカルグループの削除 |
638 |
B |
D |
E |
G |
I |
OSLGrp |
Delete |
L |
|
28 |
639 |
セキュリティが有効なローカルグループの変更 |
639 |
B |
D |
E |
G |
I |
OSLGrp |
Change |
L |
|
29 |
641 |
セキュリティが有効なグローバルグループの変更 |
641 |
B |
D |
E |
G |
I |
OSGGrp |
Change |
L |
|
30 |
642 |
ユーザアカウントの変更 |
642 |
B |
D |
E |
G |
I |
OSUser |
Change |
L |
|
31 |
644 |
ユーザアカウントのロックアウト |
644 |
B |
D |
E |
G |
I |
OSUser |
Change |
L |
- (凡例)
-
A:LogonEvent(コンポーネント名)
B:AccountManagement(コンポーネント名)
C:Authentication(監査事象種別)
D:ConfigurationAccess(監査事象種別)
E:SuccessまたはFailure(監査事象結果)※2
F:実行ユーザID(サブジェクト種別)
G:ユーザID(サブジェクト種別)
H:ユーザ名(サブジェクト情報)
I:呼び出し側のユーザ名(サブジェクト情報)
J:ワークステーション名(固有部のobjloc:from)
K:出力項目名ごとなし(固有部のobjloc:from)
L:呼び出し側ドメイン(固有部のobjloc:from)
- 注※1
-
JP1イベントの拡張属性の固有情報A5の値です。
- 注※2
-
SuccessかFailureかどうかは,JP1イベントの拡張属性の固有情報A3の値によって判断されます。固有情報A3の値が「Audit_Success」の場合はSuccess,「Audit_Failure」の場合はFailureが設定されます。
なお,次の表に示す項目はWindowsイベントログのすべてのイベントIDで共通です。
|
共通部 |
固有部 |
||||
|---|---|---|---|---|---|
|
監査ログID |
日時 |
プログラム名 |
プロセスID |
発生場所 |
出力項目名なしで出力するもの※1 |
|
0 |
発生日時※2 |
Windows |
値なし |
コンピュータ名※3 |
ログの残りの部分 |
- 注※1
-
適当な出力項目名がないログの項目または正規化できないログの項目を指します。
- 注※2
-
JP1イベントの拡張属性の固有情報A0の値です。
- 注※3
-
JP1イベントの拡張属性の固有情報A1の値です。