• ベストアンサー

イベントIDが529と680の失敗の監査について

別の方が質問されていますが、ぜんぜん解決していませんので同内容で質問いたします。 内部統制に伴うサーバーセキュリティ対策として不正アクセス検出方法として、ローカルセキュリティポリシーでログオン/ログオフの監査を成功・失敗で設定したのですが、イベントビューアのセキュリティに失敗の監査としてイベントID:529と680の組み合わせで記録されています。ユーザー当人にこのサーバーにアクセスしたか確認しましたが、このサーバーには一切アクセスしていないそうです。 この失敗の監査が出ないようにするにはどうしたらいいのでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • foitec
  • ベストアンサー率43% (1080/2457)
回答No.1

多くの場合イベントIDが529と680はペアで吐き出されます。 何もローカルアカウントのログオンエラーとは限りません。 イベントの吐き出す間隔がある程度一定間隔の場合は何らかの機器から スクリプトが実行されています。 イベント ID: 529 イベント ソース: Security 分類 : ログオン/ログオフ ユーザー: NT AUTHORITY/SYSTEM コンピュータ: SERVERNAME 説明: ログオン失敗: 理由 : ユーザー名を認識できないか、またはパスワードが間違っています。 ユーザー名: username でユーザー名はなんと出ていますか? またTCPを正常にバインドできないアプリケーション若しくはサービスが存在していることもあります。

FTN_JSYS
質問者

お礼

ありがとうございました。 とりあえず、アラートを出す対象から上記イベントIDを除外することで解決しました。

すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

注目のQ&A

カテゴリ

OKWAVE コラム

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する