ログオフの監査
ログオフの監査
ログオフの監査は、ログオンセッションが終了したときにオペレーティングシステムが監査イベントを生成するかどうかを決定します。
これらのイベントはアクセスされたコンピューターで発生します。インタラクティブなログオンの場合、これらのイベントはログオンしたコンピューターで生成されます。
このサブカテゴリには失敗イベントはありません。システムが突然シャットダウンするなどの失敗したログオフは監査記録を生成しないためです。
ログオンイベントはユーザーの活動を理解し、潜在的な攻撃を検出するために不可欠です。ログオフイベントは100%信頼できるわけではありません。例えば、適切なログオフとシャットダウンを行わずにコンピューターの電源を切ることができ、その場合ログオフイベントは生成されません。
イベントボリューム: 高。
このサブカテゴリでは、ログオンセッションの終了によって生成されるイベントを監査できます。これらのイベントはアクセスされたコンピューターで発生します。インタラクティブなログオフの場合、セキュリティ監査イベントはユーザーアカウントがログオンしたコンピューターで生成されます。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強化された成功 | 強化された失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | いいえ | いいえ | はい | いいえ | このサブカテゴリは通常、「4634(S): アカウントがログオフされました。」イベントを大量に生成しますが、これらは通常、セキュリティ上の関連性がほとんどありません。ログオフイベントよりもログオンの監査サブカテゴリを使用してログオンイベントを監査することが重要です。例えば、セッションがどれくらいの期間アクティブであったか(ログオンの監査イベントとの相関で)やユーザーがいつログオフしたかを追跡したい場合は、成功監査を有効にします。このサブカテゴリには失敗イベントがないため、失敗監査を有効にすることは推奨されません。 |
| メンバーサーバー | いいえ | いいえ | はい | いいえ | このサブカテゴリは通常、「4634(S): アカウントがログオフされました。」イベントを大量に生成しますが、これらは通常、セキュリティ上の関連性がほとんどありません。ログオフイベントよりもログオンの監査サブカテゴリを使用してログオンイベントを監査することが重要です。例えば、セッションがどれくらいの期間アクティブであったか(ログオンの監査イベントとの相関で)やユーザーがいつログオフしたかを追跡したい場合は、成功監査を有効にします。このサブカテゴリには失敗イベントがないため、失敗監査を有効にすることは推奨されません。 |
| ワークステーション | いいえ | いいえ | はい | いいえ | このサブカテゴリは通常、「4634(S): アカウントがログオフされました。」イベントを大量に生成しますが、これらは通常、セキュリティ上の関連性がほとんどありません。ログオフイベントよりもログオンの監査サブカテゴリを使用してログオンイベントを監査することが重要です。例えば、セッションがどれくらいの期間アクティブであったか(ログオンの監査イベントとの相関で)やユーザーがいつログオフしたかを追跡したい場合は、成功監査を有効にします。このサブカテゴリには失敗イベントがないため、失敗監査を有効にすることは推奨されません。 |
イベントリスト: