プロセス終了の監査
プロセス終了の監査
プロセス終了の監査は、プロセスが終了したときにオペレーティングシステムが監査イベントを生成するかどうかを決定します。
成功の監査は成功した試行を記録し、失敗の監査は失敗した試行を記録します。
このポリシー設定は、ユーザーの活動を追跡し、コンピューターの使用方法を理解するのに役立ちます。
イベントボリューム: システムの使用状況に応じて低から中。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強化された成功 | 強化された失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | いいえ | いいえ | IF | いいえ | IF - このサブカテゴリは通常、プロセス作成の監査サブカテゴリほど重要ではありません。このサブカテゴリを使用すると、例えば、4688イベントと関連付けてプロセスがどのくらいの期間実行されたかの情報を取得できます。一部のコンピューターで実行される重要なプロセスのリストがある場合、このサブカテゴリを有効にしてこれらの重要なプロセスの終了を監視できます。このサブカテゴリには失敗イベントがないため、失敗の監査を有効にすることは推奨されません。 |
| メンバーサーバー | いいえ | いいえ | IF | いいえ | IF - このサブカテゴリは通常、プロセス作成の監査サブカテゴリほど重要ではありません。このサブカテゴリを使用すると、例えば、4688イベントと関連付けてプロセスがどのくらいの期間実行されたかの情報を取得できます。一部のコンピューターで実行される重要なプロセスのリストがある場合、このサブカテゴリを有効にしてこれらの重要なプロセスの終了を監視できます。このサブカテゴリには失敗イベントがないため、失敗の監査を有効にすることは推奨されません。 |
| ワークステーション | いいえ | いいえ | IF | いいえ | IF - このサブカテゴリは通常、プロセス作成の監査サブカテゴリほど重要ではありません。このサブカテゴリを使用すると、例えば、4688イベントと関連付けてプロセスがどのくらいの期間実行されたかの情報を取得できます。一部のコンピューターで実行される重要なプロセスのリストがある場合、このサブカテゴリを有効にしてこれらの重要なプロセスの終了を監視できます。このサブカテゴリには失敗イベントがないため、失敗の監査を有効にすることは推奨されません。 |
イベントリスト:
- 4689(S): プロセスが終了しました。