監査プロセストラッキング
監査プロセストラッキング
プログラムの起動、プロセスの終了、ハンドルの複製、間接オブジェクトアクセスなどのイベントに関する詳細なトラッキング情報を監査するかどうかを決定します。
このポリシー設定を定義すると、成功の監査、失敗の監査、またはイベントタイプの監査を行わないかを指定できます。成功の監査は、追跡されているプロセスが成功したときに監査エントリを生成します。失敗の監査は、追跡されているプロセスが失敗したときに監査エントリを生成します。
この値を 監査なし に設定するには、このポリシー設定の プロパティ ダイアログボックスで、これらのポリシー設定を定義するチェックボックスを選択し、成功 と 失敗 のチェックボックスをクリアします。
デフォルト: 監査なし。
このセキュリティ設定を構成する
このセキュリティ設定は、コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\監査ポリシーで構成できます。
| プロセストラッキングイベント | 説明 |
|---|---|
| 592 | 新しいプロセスが作成されました。 |
| 593 | プロセスが終了しました。 |
| 594 | オブジェクトへのハンドルが複製されました。 |
| 595 | オブジェクトへの間接アクセスが取得されました。 |
| 596 | データ保護マスターキーがバックアップされました。注: マスターキーは CryptProtectData および CryptUnprotectData ルーチン、および暗号化ファイルシステム (EFS) によって使用されます。新しいマスターキーが作成されるたびにバックアップされます。(デフォルト設定は 90 日です。)キーは通常、ドメインコントローラーにバックアップされます。 |
| 597 | データ保護マスターキーがリカバリーサーバーから復元されました。 |
| 598 | 監査可能なデータが保護されました。 |
| 599 | 監査可能なデータの保護が解除されました。 |
| 600 | プロセスにプライマリトークンが割り当てられました。 |
| 601 | ユーザーがサービスのインストールを試みました。 |
| 602 | スケジューラジョブが作成されました。 |