- ベストアンサー
イベントIDが529と680の失敗の監査について
別の方が質問されていますが、ぜんぜん解決していませんので同内容で質問いたします。 内部統制に伴うサーバーセキュリティ対策として不正アクセス検出方法として、ローカルセキュリティポリシーでログオン/ログオフの監査を成功・失敗で設定したのですが、イベントビューアのセキュリティに失敗の監査としてイベントID:529と680の組み合わせで記録されています。ユーザー当人にこのサーバーにアクセスしたか確認しましたが、このサーバーには一切アクセスしていないそうです。 この失敗の監査が出ないようにするにはどうしたらいいのでしょうか?
- FTN_JSYS
- お礼率100% (3/3)
- Windows系OS
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
多くの場合イベントIDが529と680はペアで吐き出されます。 何もローカルアカウントのログオンエラーとは限りません。 イベントの吐き出す間隔がある程度一定間隔の場合は何らかの機器から スクリプトが実行されています。 イベント ID: 529 イベント ソース: Security 分類 : ログオン/ログオフ ユーザー: NT AUTHORITY/SYSTEM コンピュータ: SERVERNAME 説明: ログオン失敗: 理由 : ユーザー名を認識できないか、またはパスワードが間違っています。 ユーザー名: username でユーザー名はなんと出ていますか? またTCPを正常にバインドできないアプリケーション若しくはサービスが存在していることもあります。
お礼
ありがとうございました。 とりあえず、アラートを出す対象から上記イベントIDを除外することで解決しました。