イベントログ システムイベント診断
ここでは、Windowsサーバーのセキュリティ診断・システムイベントについて説明します。
Windowsサーバーのセキュリティ診断・システム イベントの診断項目は、以下の通りです。
・シャットダウン・再起動
・セキュリティ ログの変更・消去
イベントID 513は、Windows がシャットダウンされたことを示します。攻撃者がシステム起動中にアクセス権を取得するためにサーバーを強制的に再起動する可能性があります。管理者によるシャットダウンであるかを確認して下さい。
Windows がシャットダウンします。
イベントID 517はセキュリティ ログの消去を示します。攻撃者は、セキュリティ ログを変更しようとしたり、攻撃中の監査を無効にしようとしたり、攻撃が気付かれることがないようにセキュリティ ログを消去しようとする可能性があります。
セキュリティ ログが消去されました
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。
イベントログサービスのシャットダウン
イベントログ消去