付録E.6　Windowsイベントログ（セキュリティに関する情報）の監査ログ出力情報（Windows Server 2012またはWindows Server 2008の場合）

ここでは，Windows Server 2012またはWindows Server 2008の場合のWindowsイベントログ（セキュリティ）の監査ログ出力情報を次の表に示します。

表E‒12　Windowsイベントログ（セキュリティ）の監査ログ出力情報（Windows Server 2012またはWindows Server 2008の場合）
項番	Windows イベントログ		共通部						固有部
項番	イベントID	メッセージ内容	メッセージID^※1	コンポーネント名	監査事象種別	監査事象結果	サブジェクト種別	サブジェクト情報	obj	op	objloc:from
1	4624	ログオンの成功	4624	A	C	E	F	H	OS	Logon	K
2	4625	ログオンの失敗	4625	A	C	E	F	I	OS	Logon	K
3	4634	ユーザのログオフ	4634	A	C	E	F	J	OS	Logoff	L
4	4720	ユーザアカウントの作成	4720	B	D	E	G	J	OSUser	Add	M
5	4722	ユーザアカウントの有効化	4722	B	D	E	G	J	OSUser	Change	M
6	4723	パスワード変更	4723	B	D	E	G	J	OSUser	Change	M
7	4724	ユーザアカウントパスワードの設定	4724	B	D	E	G	J	OSUser	Change	M
8	4725	ユーザアカウントパスワードの無効化	4725	B	D	E	G	J	OSUser	Change	M
9	4726	ユーザアカウントの削除	4726	B	D	E	G	J	OSUser	Delete	M
10	4727	セキュリティが有効なグローバルグループの作成	4727	B	D	E	G	J	OSGGrp	Add	M
11	4728	セキュリティが有効なグローバルグループメンバの追加	4728	B	D	E	G	J	OSGGrpUser	Add	M
12	4729	セキュリティが有効なグローバルグループメンバの削除	4729	B	D	E	G	J	OSGGrpUser	Delete	M
13	4730	セキュリティが有効なグローバルグループの削除	4730	B	D	E	G	J	OSGGrp	Delete	M
14	4731	セキュリティが有効なローカルグループの作成	4731	B	D	E	G	J	OSGGrp	Add	M
15	4732	セキュリティが有効なローカルグループメンバの追加	4732	B	D	E	G	J	OSGGrpUser	Add	M
16	4733	セキュリティが有効なローカルグループメンバの削除	4733	B	D	E	G	J	OSGGrpUser	Delete	M
17	4734	セキュリティが有効なローカルグループの削除	4734	B	D	E	G	J	OSGGrp	Delete	M
18	4735	セキュリティが有効なローカルグループの変更	4735	B	D	E	G	J	OSGGrp	Change	M
19	4737	セキュリティが有効なグローバルグループの変更	4737	B	D	E	G	J	OSGGrp	Change	M
20	4738	ユーザアカウントの変更	4738	B	D	E	G	J	OSUser	Change	M
21	4740	ユーザアカウントのロックアウト	4740	B	D	E	G	J	OSUser	Change	M
22	4744	セキュリティが無効なローカルグループの作成	4744	B	D	E	G	J	OSGGrp	Add	M
23	4745	セキュリティが無効なローカルグループの変更	4745	B	D	E	G	J	OSGGrp	Change	M
24	4746	セキュリティが無効なローカルグループメンバの追加	4746	B	D	E	G	J	OSGGrpUser	Add	M
25	4747	セキュリティが無効なローカルグループメンバの削除	4747	B	D	E	G	J	OSGGrpUser	Delete	M
26	4748	セキュリティが無効なローカルグループの削除	4748	B	D	E	G	J	OSGGrp	Delete	M
27	4749	セキュリティが無効なグローバルグループの作成	4749	B	D	E	G	J	OSGGrp	Add	M
28	4750	セキュリティが無効なグローバルグループの変更	4750	B	D	E	G	J	OSGGrp	Change	M
29	4751	セキュリティが無効なグローバルグループメンバの追加	4751	B	D	E	G	J	OSGGrpUser	Add	M
30	4752	セキュリティが無効なグローバルグループメンバの削除	4752	B	D	E	G	J	OSGGrpUser	Delete	M
31	4753	セキュリティが無効なグローバルグループの削除	4753	B	D	E	G	J	OSGGrp	Delete	M
32	4754	セキュリティが有効なユニバーサルグループの作成	4754	B	D	E	G	J	OSGGrp	Add	M
33	4755	セキュリティが有効なユニバーサルグループの変更	4755	B	D	E	G	J	OSGGrp	Change	M
34	4756	セキュリティが有効なユニバーサルグループメンバの追加	4756	B	D	E	G	J	OSGGrpUser	Add	M
35	4757	セキュリティが有効なユニバーサルグループメンバの削除	4757	B	D	E	G	J	OSGGrpUser	Delete	M
36	4758	セキュリティが有効なユニバーサルグループの削除	4758	B	D	E	G	J	OSGGrp	Delete	M
37	4759	セキュリティが無効なユニバーサルグループの作成	4759	B	D	E	G	J	OSGGrp	Add	M
38	4760	セキュリティが無効なユニバーサルグループの変更	4760	B	D	E	G	J	OSGGrp	Change	M
39	4761	セキュリティが無効なユニバーサルグループメンバの追加	4761	B	D	E	G	J	OSGGrpUser	Add	M
40	4762	セキュリティが無効なユニバーサルグループメンバの削除	4762	B	D	E	G	J	OSGGrpUser	Delete	M
41	4763	セキュリティが無効なユニバーサルグループの削除	4763	B	D	E	G	J	OSGGrp	Delete	M

（凡例）

A：LogonEvent（コンポーネント名）

B：AccountManagement（コンポーネント名）

C：Authentication（監査事象種別）

D：ConfigurationAccess（監査事象種別）

E：SuccessまたはFailure（監査事象結果）^※2

F：実行ユーザID（サブジェクト種別）

G：ユーザID（サブジェクト種別）

H：新しいログオン：アカウント名（サブジェクト情報）

I：ログオンを失敗したアカウント：アカウント名（サブジェクト情報）

J：サブジェクト：アカウント名（サブジェクト情報）

K：ネットワーク情報：ワークステーション名（固有部のobjloc:from）

L：出力項目名ごとなし（固有部のobjloc:from）

M：サブジェクト：アカウントドメイン（固有部のobjloc:from）

注※1

JP1イベントの拡張属性の固有情報A5の値です。

注※2

SuccessかFailureかどうかは，JP1イベントの拡張属性の固有情報A3の値によって判断します。固有情報A3の値が「Audit_Success」の場合はSuccess，「Audit_Failure」の場合はFailureを設定します。

なお，次の表に示す項目はWindowsイベントログのすべてのイベントIDで共通です。

表E‒13　Windowsイベントログ（セキュリティ）の監査ログ出力情報の共通項目（Windows Server 2012またはWindows Server 2008の場合）
共通部					固有部
監査ログID	日時	プログラム名	プロセスID	発生場所	出力項目名なしで出力するもの^※1
0	発生日時^※2	Windows	値なし	コンピュータ名^※3	ログの残りの部分

注※1: 適当な出力項目名がないログの項目または正規化できないログの項目を指します。
注※2: JP1イベントの拡張属性の固有情報A0の値です。
注※3: JP1イベントの拡張属性の固有情報A1の値です。

ページの先頭へ

付録E.6 Windowsイベントログ（セキュリティに関する情報）の監査ログ出力情報（Windows Server 2012またはWindows Server 2008の場合）

付録E.6　Windowsイベントログ（セキュリティに関する情報）の監査ログ出力情報（Windows Server 2012またはWindows Server 2008の場合）