Windows に記録されるイベントを追加する方法です。
イベント
電源が投入されたりファイルへのアクセスが失敗したりするなどの Windows 内の細かな動作は、「イベント」として記録され、「イベント ビューワー」で閲覧できます。
本記事では、標準では記録されないイベントを記録対象にする方法について記載し、例として、標準では記録されないイベント「他のログオン/ログオフ イベント」を記録されるように設定します。
これにより、「他のログオン/ログオフ イベント」に含まれる次のイベントが記録されるようになります:
- 4649: リプレイ攻撃が検出されました。
- 4778: セッションはウィンドウステーションに再接続されました。
- 4779: セッションはウィンドウステーションから切断されました。
- 4800: ワークステーションはロックされていました。
- 4801: ワークステーションのロックが解除されました。
- 4802: スクリーンセーバーが呼び出されました。
- 4803: スクリーンセーバーは閉じられました。
- 5378(F): 要求された資格情報の委任はポリシーによって許可されていません。
- 5632: ワイヤレスネットワークへの認証要求が行われました。
- 5633: ワイヤード (有線) ネットワークへの認証要求が行われました。
イベントを追加する方法
グループ ポリシー
グループ ポリシーから設定する方法です。
[スタート]をクリックして「グループ」と入力、「グループ ポリシーの編集」をクリックします。
「ローカル グループ ポリシー エディター」が表示されたら次の順に開きます:
- ローカル コンピューター ポリシー
- コンピュータの構成
- Windows の設定
- セキュリティの設定
- 監査ポリシーの詳細な構成
- システム監査ポリシー
- ログオン / ログオフ
- システム監査ポリシー
- 監査ポリシーの詳細な構成
- セキュリティの設定
- Windows の設定
- コンピュータの構成
「その他のログオン/ログオフイベントの監査」をダブルクリックします。
「ポリシー」タブ内の[次の監査イベントを構成する]にチェックを入れ、「成功」と「失敗」にチェックを入れて[OK]をクリックします。
ローカル セキュリティ ポリシー
ローカル セキュリティ ポリシーから設定する方法です。
[スタート]をクリックし、[Windows 管理ツール]内の[ローカル セキュリティ ポリシー]をクリックします。
次のプロパティを開きます:
- セキュリティの設定
- 監査ポリシーの詳細な構成
- システム監査ポリシー
- ログイン / ログオフ
- システム監査ポリシー
- 監査ポリシーの詳細な構成
「その他のログオン/ログオフイベントの監査」をダブルクリックします。
「ポリシー」タブ内の[次の監査イベントを構成する]にチェックを入れ、「成功」と「失敗」にチェックを入れて[OK]をクリックします。
動作確認
スクリーンセーバーを設定して実行し、イベントが記録されたか確認します。
(参考) イベント ビューアーで次の場所を参照します:
- イベントビューアー
- Windows ログ
- セキュリティ
- Windows ログ
スクリーンセーバーの設定については、次のサポート記事をご参照ください:
イベントを確認する方法については、次のサポート記事をご参照ください:
参考文献等
- 他のログオン/ログオフイベントを監査する (Windows 10) – Windows security | Microsoft Docs
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/auditing/audit-other-logonlogoff-events
注意
- 本操作例は、Windows 10 (Ver.2004, 1909) のものです
スポンサードリンク