コードの整合性の診断のシステム ログ イベント

Windows Vista 以降のバージョンの Windows のコード整合性コンポーネントにより、カーネル モード ドライバーの読み込みには署名が必要です。 Windows Vista 以降のバージョンの Windows では、常にコード整合性操作イベントが生成され、必要に応じて、ドライバーの署名の状態に関する情報を提供する追加のシステム監査イベントと冗長診断イベントが生成されます。

• コード整合性操作ログには、ドライバーの署名を検証できなかったためにカーネル モード ドライバーの読み込みに失敗したことを示す警告イベントが含まれています。 署名の検証は、次の理由で失敗する可能性があります。

  • 管理者は署名されていないドライバーをプレインストールしましたが、その後、コード整合性によって署名されていないドライバーの読み込みがブロックされました。
  • ドライバーは署名されていますが、ドライバー ファイルが変更されたため、署名は無効です。
  • 不良ディスク セクターからドライバーのファイルを読み取るときに、システム ディスク デバイスにデバイス エラーが発生する可能性があります。

• システム監査ポリシーが有効になっている場合、コード整合性はシステム監査ログ イベントを生成します。これは、ドライバー ファイルの署名検証に失敗したことを示す操作警告イベントに対応します。 システム監査ポリシーは、既定では有効になっていません。

• コード整合性の詳細ログが有効になっている場合、コード整合性は分析イベントとデバッグ イベントをログに記録し、これらは、カーネル モード ドライバー ファイルを読み込む前に発生した検証チェックの成功に関する情報を提供します。 コード整合性の詳細ログは、既定では有効になっていません。

「コード整合性イベントの表示」で説明されているように、イベント ビューアーを使用してコード整合性イベントを表示できます。 これらのイベント ログ メッセージの詳細については、「コード整合性イベント ログ メッセージ」を参照してください。

システム監査ログと詳細ログを有効にする方法の詳細については、「システム イベント監査ログの有効化」を参照してください。