イベントログ システムイベント診断

システムイベント診断

Windowsサーバーのセキュリティ診断・システム イベントの診断項目は、以下の通りです。
・シャットダウン・再起動
・セキュリティ ログの変更・消去

シャットダウン・再起動

イベントID 513は、Windows がシャットダウンされたことを示します。攻撃者がシステム起動中にアクセス権を取得するためにサーバーを強制的に再起動する可能性があります。管理者によるシャットダウンであるかを確認して下さい。

イベントID= 513

Windows がシャットダウンします。

セキュリティ ログの変更・消去

イベントID 517はセキュリティ ログの消去を示します。攻撃者は、セキュリティ ログを変更しようとしたり、攻撃中の監査を無効にしようとしたり、攻撃が気付かれることがないようにセキュリティ ログを消去しようとする可能性があります。

イベントID= 517

セキュリティ ログが消去されました

Windows Vista以降の システムイベント診断

Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID= 1100

イベントログサービスのシャットダウン

イベントID= 1102

イベントログ消去