Dec 22, 2023

Windowsログ分析の色々

 ログオン イベントの監査 (Windows 10) - Windows security | Microsoft Learn

https://learn.microsoft.com/ja-jp/windows/security/threat-protection/auditing/basic-audit-logon-events

 

ログオン イベント

説明

4624

ユーザーがコンピューターに正常にログオンしました。 ログオンの種類については、以下のログオンの種類の表を参照してください。

4625

ログオンエラー。 不明なユーザー名またはパスワードが正しくない既知のユーザー名でログオン試行が行われました。

4634

ユーザーのログオフ プロセスが完了しました。

4647

ユーザーがログオフ プロセスを開始しました。

4648

ユーザーは、別のユーザーとして既にログオンしているときに、明示的な資格情報を使用してコンピューターに正常にログオンしました。

4779

ユーザーがログオフせずにターミナル サーバー セッションを切断しました。

 

4634(S) アカウントがログオフされました。 (Windows 10) - Windows security | Microsoft Learn

 https://learn.microsoft.com/ja-jp/windows/security/threat-protection/auditing/event-4634?source=recommendations

 

サブジェクト:

·        セキュリティ ID [Type = SID]: ログオフされたアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

:   セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパルを識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

 

パソコンのログオン・ログオフ記録を確認する方法について | おりんやブログ (orin-ya.com)

 https://www.orin-ya.com/pclogonlogoff/

RDPのログオン・ログオフはどのように記録されるのか? 7001, 7002で拾えるか?

 

Windowsイベントログを検索したりテキスト形式でエクスポートする方法 | 4thsight.xyz

 https://4thsight.xyz/10364

『特定のイベントログだけをエクスポートしたいときは、エクスポートする数が少なければ、エクスポートしたいイベントログを選択して、画面右側の操作メニューから「選択したイベントの保存」をクリックします。』

特定の条件に一致するイベントログを一括でエクスポートしたいときは・・・

フィルターまたはカスタムビューを指定して、エクスポートしたいイベントログだけを表示させたら、画面右側のメニューから「すべてのイベントを名前を付けて保存」をクリックすることで、表示されているイベントログだけをエクスポートすることができます。』