システム イベントの監査
ユーザーがコンピューターを再起動またはシャットダウンした場合、またはシステムのセキュリティやセキュリティ ログに影響を与えるイベントが発生した場合に監査するかどうかを決定します。
このポリシー設定を定義する場合、成功を監査するか、失敗を監査するか、またはすべてのイベントの種類を監査しないかを指定できます。成功の監査は、ログオンが成功すると監査エントリを生成します。失敗の監査は、ログオンが失敗すると監査エントリを生成します。
この値を [監査しない] に設定するには、このポリシー設定の [プロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスを選択して [成功] と [失敗] のチェック ボックスをオフにします。
既定:
ドメイン コントローラーでは [成功]。
メンバー サーバーでは [監査しない]。
この監査設定の構成
コンピューターの構成\Windows 設定\セキュリティの設定\ローカル ポリシー\監査ポリシーの下にある適切なポリシーを開くことでこのセキュリティ設定を構成できます。
| ログオン イベント | 説明 |
|---|---|
| 512 | Windows を起動しています。 |
| 513 | Windows をシャットダウンしています。 |
| 514 | ローカル セキュリティ機関によって、認証パッケージが読み込まれました。 |
| 515 | 信頼されたログオン プロセスがローカル セキュリティ機関に登録されました。 |
| 516 | セキュリティ イベント メッセージをキューに登録するために割り当てられた内部リソースをすべて使用したため、一部のセキュリティ イベント メッセージが失われました。 |
| 517 | 監査ログが消去されました。 |
| 518 | 通知パッケージがセキュリティ アカウント マネージャーにより読み込まれました。 |
| 519 | クライアントの偽装、クライアント アドレス空間からの応答や読み取り、またはクライアント アドレス空間への書き込みの試みで、無効なローカル プロシージャ コール (LPC) ポートがプロセスにより使用されています。 |
| 520 | システム時刻が変更されました。注 この監査は通常 2 回表示されます。
|