イベントビューアの表示

Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2012などの新しいWindows OSでは、コントロールパネル -> システムとメンテナンス -> 管理ツール -> イベントログの表示 で、イベントビューアが表示されます。

Vista以降のイベントログ 1はじめてイベントビューアを起動すると、旧イベントログシステムのユーザーインターフェースとの違いに驚きますが、左側の「Windowsログ」の「アプリケーション」をクリックすると従来と同様に、アプリケーションログが表示されます。

Vista以降のイベントログ 2左側がメニュー、真ん中がデータ、右側がその時々の操作というインターフェイスです。新しい Windows OSのMMC(Microsoft管理コンソール)は慣れるまで苦労しますが...慣れると便利です。

新しいイベントビューアの変更点

新しいWindows OSのイベント ビューアは、かなり便利になっています。主な変更点、特徴は以下の通りです。

複数イベントログの表示

カスタムビューを作成し、複数のイベントログを一度に参照することができます。イベントビューア左側の「カスタムビュー」を展開すると、標準で「管理イベント」というビューがあります。このビューでは、アプリケーションログ、システムログのエラー、警告が一度に参照できますので、マシンのイベントログを参照する時には、まずこのビューを見てから という管理ができます。

カスタムビューの再利用

カスタムビューはエクスポート、インポートが可能なので、1台のマシンで作成したカスタムビューを、別マシンに持っていくこともできます。

タスクスケジューラとの統合

イベントログが記録されたタイミングで、何か処理を行うことが標準で出来るようになりました。

サブスクリプション(購読)

リモートコンピュータからイベントログを収集し、ローカルコンピュータに保存できるようになりました。その分、マシンのCPU負荷はかかります。1箇所(1台のマシン)で、複数台のマシンが管理できるので便利です。

イベントID= 4624 ログオン

イベントID 4624 ログオンは ローカルログオン(ログオンタイプ=2)、リモートログオン(ログオンタイプ=3)で発生します。

ログオンの イベントログ形式

アカウントが正常にログオンしました。

サブジェクト:

セキュリティ ID: %1
アカウント名: %2
アカウント ドメイン: %3
ログオン ID: %4

ログオン タイプ: %9

新しいログオン:

セキュリティ ID: %5
アカウント名: %6
アカウント ドメイン: %7
ログオン ID: %8
ログオン GUID: %13

プロセス情報:

プロセス ID: %17
プロセス名: %18

ネットワーク情報:

ワークステーション名: %12
ソース ネットワーク アドレス: %19
ソース ポート: %20

詳細な認証情報:

ログオン プロセス: %10
認証パッケージ: %11
移行されたサービス: %14
パッケージ名 (NTLM のみ): %15
キーの長さ: %16

ログオンの イベントログ説明

このイベントは、ログオン セッションの作成時に生成されます。
このイベントは、アクセス先のコンピュータで生成されます。

サブジェクトのフィールドは、ログオンを要求したローカル システム上の
アカウントを示します。
これはサーバー サービスなどのサービスまたは Winlogon.exe や
Services.exe などのローカル プロセスであることが最も一般的です。

ログオン タイプのフィールドは、発生したログオンの種類を示します。
最も一般的なタイプは、2 (対話型) と 3 (ネットワーク) です。

新しいログオンのフィールドは、新しいログオンを作成するアカウント、
つまりログオン先のアカウントを示します。

ネットワークのフィールドは、リモート ログオン要求の送信元を示します。
ワークステーション名は常に表示されるとは限らず、場合によっては
空白のままであることがあります。

認証情報のフィールドは、この特定のログオン要求に関する詳細情報を示します。
- ログオン GUID は、このイベントを KDC イベントに関連付ける場合に
使用できる一意の識別子です。
- 移行されたサービスは、このログオン要求に関与した中間サービスを示します。
- パッケージ名は、NTLM プロトコルのうち使用されたサブプロトコルを示します。
- キーの長さは、生成されたセッション キーの長さを示します。
これは、セッション キーが要求されなかった場合は 0 になります。

イベントID 4634 ログオフ

イベントID 4634 ログオフは ローカルログオフ(ログオンタイプ=2)、リモートログオフ(ログオンタイプ=3)で発生します。ログオンIDに対応する ログオン(4624)のイベントログにアカウント名、ワークステーション名、IPアドレスがあります。

ログオフの イベントログ形式

アカウントがログオフしました。

サブジェクト:

セキュリティ ID: %1
アカウント名: %2
アカウント ドメイン: %3
ログオン ID: %4

ログオン タイプ: %5

ログオフの イベントログ説明

このイベントは、ログオン セッションが破棄された場合に生成されます。
これは、ログオン ID の値を使用して、ログオン イベントに関連
付けられる場合があります。ログオン ID は、同一コンピュータが
次に再起動するまでの間のみ一意です。

イベントID 4656 ファイルオープン

イベントID 4656 ファイルオープンは ファイルオープン時に発生します。「オブジェクトの種類」が File のものが ファイル(またはフォルダ)のオープンです。ログオンIDに対応する ログオン(4624)のイベントログにアカウント名、ワークステーション名、IPアドレスがあります。

ファイルオープンの イベントログ形式

オブジェクトに対するハンドルが要求されました。

サブジェクト:

セキュリティ ID: %1
アカウント名: %2
アカウント ドメイン: %3
ログオン ID: %4

オブジェクト:

オブジェクト サーバー: %5
オブジェクトの種類: %6
オブジェクト名: %7
ハンドル ID: %8

プロセス情報:

プロセス ID: %14
プロセス名: %15

アクセス要求情報:

トランザクション ID: %9
アクセス: %10
アクセス マスク: %11
アクセスの確認に使用した特権: %12
制限された SID 数: %13

ファイルオープンの イベントログ説明

※ありません。

イベントID 4658 ファイルクローズ

イベントID 4658 ファイルクローズは ファイルクローズ時に発生します。ハンドルID、プロセスIDに対応する ファイルオープン(4656)のイベントログにファイル名があります。ログオンIDに対応する ログオン(4624)のイベントログにアカウント名、ワークステーション名、IPアドレスがあります。

ファイルクローズの イベントログ形式

オブジェクトに対するハンドルが閉じました。

サブジェクト:

セキュリティ ID: %1
アカウント名: %2
アカウント ドメイン: %3
ログオン ID: %4

オブジェクト:

オブジェクト サーバー: %5
ハンドル ID: %6

プロセス情報:

プロセス ID: %7
プロセス名: %8

ファイルクローズの イベントログ説明

※ありません。

イベントID 4663 ファイルアクセス

イベントID 4663 ファイルアクセスは ファイルアクセス時に発生します。「オブジェクト名」にアクセスしたファイル名が入ります。「アクセス」にアクセスした種別(リード、ライトなど)が入ります。ハンドルID、プロセスIDに対応する ファイルオープン(4656)のイベントログにファイル名があります。ログオンIDに対応する ログオン(4624)のイベントログにアカウント名、ワークステーション名、IPアドレスがあります。

ファイルアクセスの イベントログ形式

オブジェクトへのアクセスが試行されました。

サブジェクト:

セキュリティ ID: %1
アカウント名: %2
アカウント ドメイン: %3
ログオン ID: %4

オブジェクト:

オブジェクト サーバー: %5
オブジェクトの種類: %6
オブジェクト名: %7
ハンドル ID: %8

プロセス情報:

プロセス ID: %11
プロセス名: %12

アクセス要求情報:

アクセス: %9
アクセス マスク: %10

ファイルアクセスの イベントログ説明

※ありません。

イベントID 4690 ファイルコピー

イベントID 4690 ファイルコピーは ファイルコピー時に発生します。複製元/複製先それぞれのハンドルID、プロセスIDに対応する ファイルオープン(4656)のイベントログに複製元/複製先のファイル名があります。ログオンIDに対応する ログオン(4624)のイベントログにアカウント名、ワークステーション名、IPアドレスがあります。エクスプローラ(dexplore.exe)で ファイルをコピーした場合には イベントログに記録されますが、コマンドプロンプト(cmd.exe)では記録されません。監査対象フォルダのファイルを 監査対象外フォルダにコピーした場合、複製先ハンドルがイベントログにはありません。(ファイルがコピーされたことは解りますが どこにコピーしたか不明)監査対象外フォルダのファイルを 監査対象フォルダにコピーした場合、複製元ハンドルがイベントログにはありません。(どこからかは不明だが コピーされてきたファイル)

監査対象フォルダのファイルを 監査対象フォルダにコピーした場合、イベントログに3件の(同一時刻の)ログが登録されます。
たとえば、D:¥Work¥TEST.txt を D:¥Work¥TEST - コピー.txt にコピーした場合、
  (1件目) 複製元 D:¥Work¥TEST.txt 複製先 D:¥Work
  (2件目) 複製元 D:¥Work 複製先 D:¥Work
  (3件目) 複製元 D:¥Work 複製先 D:¥Work¥TEST - コピー.txt
この3件を集約して
  複製元 D:¥Work¥TEST.txt 複製先 D:¥Work¥TEST - コピー.txt
と考えなさいという仕様でしょうか???

ファイルコピーの イベントログ形式

オブジェクトに対するハンドルの複製が試行されました。

サブジェクト:

セキュリティ ID: %1
アカウント名: %2
アカウント ドメイン: %3
ログオン ID: %4

複製元ハンドル情報:

複製元ハンドル ID: %5
複製元プロセス ID: %6

新しいハンドル情報:

複製先ハンドル ID: %7
複製先プロセス ID: %8

ファイルコピーの イベントログ説明

※ありません。

イベントID 4660 ファイル削除

イベントID 4660 ファイル削除は ファイル削除時に発生します。 ハンドルID、プロセスIDに対応する ファイルオープン(4656)のイベントログにファイル名があります。 ログオンIDに対応する ログオン(4624)のイベントログにアカウント名、ワークステーション名、IPアドレスがあります。

ファイル削除の イベントログ形式

オブジェクトが削除されました。

サブジェクト:

セキュリティ ID: %1
アカウント名: %2
アカウント ドメイン: %3
ログオン ID: %4

オブジェクト:

オブジェクト サーバー: %5
ハンドル ID: %6

プロセス情報:

プロセス ID: %7
プロセス名: %8
トランザクション ID: %9

ファイル削除の イベントログ説明

※ありません。



風水吉凶方位 風水吉凶方位 |  奇門遁甲 奇門遁甲 |  金運神社 金運神社 |  仏像 仏像 |  論語 論語 |  般若心経 般若心経 |  二十四節気 二十四節気 |  菜根譚 菜根譚 |  SharePoint活用 SharePoint |  OneNote活用 OneNote |  ICT活用 ICT