Reading Time: 1 minutes
Windowsのログオン成功イベントに注目 
イベントビューア上に出力されるイベントID:4624は、ローカルコンピューター上で発生したログオン成功イベントを記録しています。このイベントは、アクセスのあったコンピューター上、言い換えればログオンセッションが生成されたコンピューター上に生成されます。対するイベントID:4625は、ログオン失敗イベントが発生した際に生成されるイベントログとなり、こちらについては次回で詳しくご紹介していきたいと思います。
イベントID:4624は、以下のOSに出力されます。
Windows 7, Windows 8.1, Windows 10,
Windows Server 2008, Windows Server 2012, Windows Server 2016
※ Windows Server 2003以前の場合、同じ内容のイベントがイベントID:528・540として出力されます。
なお、OSのバージョンが異なれば、出力されるイベントログの中身も若干変化します。しかし、それぞれのイベントログに共通する部分として、ハイライトされた項目がユーザーならびにログオン方法を示す重要な情報となります。
解説!イベントフィールドの意味
● ログオン情報:ログオン タイプは、ログオン種別を表しています。つまり、ユーザーがどうやってログオンしたのかを確認することが可能です。ログオン タイプには9つの種類があり、最もよく見られるログオン タイプは「2(対話型)」と「3(ネットワーク)」です。なお、この2つに加え、ログオン タイプ「5(サービス)」以外のログオン タイプが出力されていた場合には、注意が必要です。
ログオンタイプ |
ログオン種別 |
説明 |
|---|---|---|
2 |
対話型 |
コンピューターのコンソール(入出力装置)を使用したログオン。 |
3 |
ネットワーク |
ネットワーク経由での共有フォルダやプリンタへのアクセス。(※多くの場合、IISへのログオンはネットワークログオンとして記録される) |
4 |
バッチ |
タスクスケジューラーの実施により発生したログオン。(※タスクスケジューラーサービスによりタスクスケジューラーが開始されたときに記録される) |
5 |
サービス |
サービス開始に伴うサービス起動アカウントによるログオン。 |
7 |
ロック解除 |
ワークステーションのロックを解除。 |
8 |
ネットワーククリアテキスト |
ネットワーク経由でクリアテキストの資格情報を使用したログオン。 |
9 |
新しい資格情報 |
RunAsコマンドに、オプションとして「/netonly」を指定したプログラムの開始 |
10 |
リモートデスクトップ |
RDP接続を使用したログオン。 |
11 |
キャッシュログオン |
キャッシュされている認証情報を元に実施したログオン。(※ドメインコントローラーが利用できないときなどに使用される) |
● 新しいログオン:誰がログオンしたのか、そしてログオンセッションごとに割り当てられる一意のID(=ログオンID)を確認することができます。
さらに、イベントID:4624からは以下の情報を確認することが可能です:
* ログオンの要求を行ったアカウント名 (サジェストフィールド)
* ログオンを試行したプロセスの名前 (プロセスフィールド)
* ネットワーク経由でログオン要求を行った接続元ホスト (ネットワーク情報フィールド)
* ログオンに使用された認証パッケージ (詳細な認証情報フィールド)
—— ログオン成功イベントの監査が必要となる理由とは?
Point 1 ) Security
特権アカウントを悪用した不正な操作が行われた際にすぐに検知ができるよう、ログオンを起点としてどのような操作が行われたのかを監査する必要があります。また、異常な活動に気がつくためには、各ユーザーの平常時の活動を集計し、把握しておくことが大切です。
Point 2 ) Operational
従業員が申請した労働時間とパソコンのログ記録が一致しているかの勤怠管理を行うために、クライアントPCから出力されたログオン・ログオフイベントを使用するケースがあります。
Point 3 ) Compliance
コンプライアンス要件として、ログ監査・長期保管が必要となる場合があります。
ログの可視化を効率的に!監査ツールの導入メリット
規模や環境により、ログオン成功イベント(イベントID:4624)が1日あたり1,000以上生成されるという企業も少なくありません。しかしその多くは重要度の低いものであり、さらに重要度が高い場合でも、単体でなく相関的に分析して、初めて価値が生まれるものがほとんどです。
たとえば、アカウント名の終わりに$マークがついている場合、ユーザーが実際に行ったログオンイベントではなく、システムやコンピューターによる認証を意味します。また、ユーザーによるログオン活動であったとしても、ユーザーがログオンしてからログオフするまでに行った活動を洗い出すためには、同一ログオンIDによる他のイベントログもあわせて辿る必要があります。
つまり、イベントログの監査には、複数のログを組み合わせる「相関分析」が必須となります。しかし、それをWindowsにデフォルトで組み込まれているツールや、PowerShellなどで行おうとした場合、多くの時間と専門的な知識が必要になります。そこで、そのような複雑な作業を自動で行い、ログを簡単に可視化することができるツールを導入することで、ログの監査にかかる工数とコストを大幅に削減することが可能です。ManageEngineが提供するADAudit Plusは、Active Directoryログの可視化に特化しているツールであり、ご案内した内容の分析を「リアルタイム」かつ「自動」で行います。
■ ADAudit Plusとは?
Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。ドメイン上で管理されている、ドメインコントローラー・ファイルサーバー・メンバーサーバー・PCなどのITリソース、およびユーザー・グループ・ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。
《関連ホワイトペーパー》
ADAudit Plusを使用した監査のメリット
Active Directoryの継続的な監査を実現する「ADAudit Plus」の利用メリットを、Microsoftが提供するユーティリティソフトを使用した場合の比較とともにご紹介します。
>> ダウンロードはこちらから <<
( → 次のページへ移動 )
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。