システムイベントの監査
システムイベントの監査
ユーザーがコンピューターを再起動またはシャットダウンしたとき、またはシステムセキュリティやセキュリティログに影響を与えるイベントが発生したときに監査するかどうかを決定します。
このポリシー設定を定義すると、成功の監査、失敗の監査、またはイベントタイプをまったく監査しないかを指定できます。成功の監査は、ログオン試行が成功したときに監査エントリを生成します。失敗の監査は、ログオン試行が失敗したときに監査エントリを生成します。
この値を 監査なし に設定するには、このポリシー設定の プロパティ ダイアログボックスで これらのポリシー設定を定義する チェックボックスを選択し、成功 と 失敗 チェックボックスをクリアします。
デフォルト:
- ドメインコントローラーでは成功。
- メンバーサーバーでは監査なし。
この監査設定を構成する
コンピューターの構成\Windowsの設定\セキュリティの設定\ローカルポリシー\監査ポリシーの下にある適切なポリシーを開いて、このセキュリティ設定を構成できます。
| ログオンイベント | 説明 |
|---|---|
| 512 | Windowsが起動しています。 |
| 513 | Windowsがシャットダウンしています。 |
| 514 | 認証パッケージがローカルセキュリティ機関によって読み込まれました。 |
| 515 | 信頼されたログオンプロセスがローカルセキュリティ機関に登録されました。 |
| 516 | セキュリティイベントメッセージのキューイングのために割り当てられた内部リソースが枯渇し、一部のセキュリティイベントメッセージが失われました。 |
| 517 | 監査ログがクリアされました。 |
| 518 | 通知パッケージがセキュリティアカウントマネージャーによって読み込まれました。 |
| 519 | プロセスが無効なローカルプロシージャコール(LPC)ポートを使用して、クライアントを偽装し、クライアントアドレス空間から読み取りまたは書き込みを試みています。 |
| 520 | システム時間が変更されました。注: この監査は通常2回表示されます。 |