- 締切済み
セキュリティログのイベントIDについて
セキュリティログのイベントIDの意味について教えてください。 サーバ側(Windows 2003 server)とローカルPC(WindowsXP Pro)とで、セキュリティログのイベントIDと意味に違いはあるのでしょうか? 以下のURLを見ると、 http://support.microsoft.com/kb/301677/ja サーバ側のイベントID680は「成功の監査」となっています。 が、自分が使用しているローカルPCのセキュリティログを見ると、同じイベントID680で「失敗の監査」として記録されています。 同じIDでもサーバ側とローカル側とで意味がちがっているのでしょうか?
- osaru_kun
- お礼率90% (10/11)
- Windows系OS
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- foitec
- ベストアンサー率43% (1080/2457)
回答No.1
>サーバ側のイベントID680は「成功の監査」となっています お尋ねのイベントは Windows Server 2003 ですよね? リンク先はWindows 2000 Serverの記述ですよね? Windows Server 2003では2000とイベントの記述がかなり変わっています。 お尋ねのID:680はWindows Server 2003においては 失敗の監査のイベントと成功の監査のイベントと両方で吐き出されるコードです。 また、失敗の際はID:529とID:680がペアで吐き出されているかと思います。 Windws XPにおいては[ようこそ] 画面の表示を有効にしているときにID:529とID:680の失敗のイベントが吐き出されます。 セキュリティソフトの設定(ソフトによって異なる)如何でも発生するようですよ。
お礼
ご回答ありがとうございます。 >Windows Server 2003では2000とイベントの記述がかなり変わっています。 Windows2003 Server のイベントID一覧も探したのですが、自分では見つけることができませんでした。 よろしければ、どちらのサイトをみればこのような情報が分かるか教えていただけますか? >失敗の監査のイベントと成功の監査のイベントと両方で吐き出されるコードです。 >また、失敗の際はID:529とID:680がペアで吐き出されているかと思います。 おっしゃるとおり、ペアで吐き出されています。 これが100件以上記録されているアカウントがいくつかあり、使用者に聞いても、サーバにログインした回数をはるかに超えています。 解析の際に不正なアクセスかどうかの判断がむずかしいのですが、どのようなときに失敗として記録されるのかも、参考になるサイトをご存知でしたら教えていただけると幸いです。