付録 L: 監視するイベント
適用対象: Windows Server 2022、Windows Server 2019、Windows Server
次の表は、「Active Directory のセキュリティ侵害の兆候の監視」に記載されている推奨事項に従って、環境内で監視する必要がある イベントの一覧です。 以下の表の [現在の Windows イベント ID] 列に、現在メインストリームでサポートされている Windows と Windows Server で実装されている イベント ID が示されています。
[レガシ Windows イベント ID] 列には、Windows XP 以前を実行しているクライアント コンピューターや Windows Server 2003 以前を実行しているサーバーなど、レガシ バージョンの Windows で対応するイベント ID が一覧表示されます。 [潜在的な重大性] 列は、攻撃の検出でイベントの重大性が低、中、または高と見なされるかどうかを示し、[イベントの概要] 列にはイベントの簡単な説明が表示されます。
潜在的な重大性に "高" が示されている場合、そのイベントが 1 つでも発生していると調査する必要があります。 潜在的な重大性が "中" または "低" の場合は、測定期間内で予期せず発生したイベントの数が、想定される基準を大幅に超える場合に調査する必要があります。 すべての組織が、必須調査応答を要求する警告を作成する前に、環境内でこれらの推奨事項をテストする必要があります。 環境はそれぞれ異なるため、潜在的な重大性が "高" のイベントの中には、他の害のないイベントが原因で発生する場合もあります。
| 現在の Windows イベント ID | レガシ Windows イベント ID | 考えられる重要度 | イベントの概要 |
|---|---|---|---|
| 4618 | 該当なし | 高 | 監視されるセキュリティ イベント パターンが発生しています。 |
| 4649 | 該当なし | 高 | 再生攻撃が検出されました。 構成の誤りが原因で無害な偽陽性である可能性があります。 |
| 4719 | 612 | 高 | システムの監査ポリシーが変更されました。 |
| 4765 | 該当なし | 高 | SID の履歴がアカウントに追加されました。 |
| 4766 | 該当なし | 高 | SID の履歴をアカウントに追加できませんでした。 |
| 4794 | 該当なし | 高 | An attempt was made to set the Directory Services Restore Mode. (ディレクトリ サービス復元モードの設定が試行されました。) |
| 4897 | 801 | 高 | 役割の分離が有効化されました。 |
| 4964 | 該当なし | 高 | 特殊グループが新しいログオンに割り当てられました。 |
| 5124 | 該当なし | 高 | OCSP レスポンダー サービスでセキュリティ設定が更新されました |
| 該当なし | 550 | 中から高 | サービス拒否 (DoS) 攻撃の可能性 |
| 1102 | 517 | 中から高 | 監査ログが消去されました |
| 4621 | 該当なし | Medium | 管理者がシステムを CrashOnAuditFail から回復しました。 管理者以外のユーザーはログインできるようになりました。 一部の監査可能アクティビティが記録されていない可能性があります。 |
| 4675 | 該当なし | Medium | SID がフィルター処理されました。 |
| 4692 | 該当なし | Medium | データ保護マスター キーのバックアップが試みられました。 |
| 4693 | 該当なし | Medium | データ保護マスター キーの回復が試みられました。 |
| 4706 | 610 | Medium | ドメインに新しい信頼が作成されました。 |
| 4713 | 617 | Medium | Kerberos ポリシーが変更されました。 |
| 4714 | 618 | Medium | 暗号化データの回復ポリシーが変更されました。 |
| 4715 | 該当なし | Medium | オブジェクトの監査ポリシー (SACL) が変更されました。 |
| 4716 | 620 | Medium | ドメインの信頼情報が変更されました。 |
| 4724 | 628 | Medium | An attempt was made to reset an account's password. (アカウントのパスワードをリセットしようとしました。) |
| 4727 | 631 | Medium | セキュリティが有効なグローバル グループが作成されました。 |
| 4735 | 639 | Medium | セキュリティが有効なローカル グループが変更されました。 |
| 4737 | 641 | Medium | セキュリティが有効なグローバル グループが変更されました。 |
| 4739 | 643 | Medium | ドメイン ポリシーが変更されました。 |
| 4754 | 658 | Medium | セキュリティが有効なユニバーサル グループが作成されました。 |
| 4755 | 659 | Medium | セキュリティが有効なユニバーサル グループが変更されました。 |
| 4764 | 667 | Medium | セキュリティが無効化されたグループが削除されました |
| 4764 | 668 | Medium | グループの種類が変更されました。 |
| 4780 | 684 | Medium | 管理者グループのメンバのアカウントに ACL が設定されました。 |
| 4816 | 該当なし | Medium | 着信メッセージの解読の際に RPC が整合性違反を検出しました。 |
| 4865 | 該当なし | Medium | 信頼されたフォレスト情報のエントリが追加されました。 |
| 4866 | 該当なし | Medium | 信頼されたフォレスト情報のエントリが削除されました。 |
| 4867 | 該当なし | Medium | 信頼されたフォレスト情報のエントリが変更されました。 |
| 4868 | 772 | Medium | 証明書マネージャーは保留中の証明書の要求を拒否しました。 |
| 4870 | 774 | Medium | 証明書サービスは証明書を失効化しました。 |
| 4882 | 786 | Medium | 証明書サービスのセキュリティのアクセス許可が変更されました。 |
| 4885 | 789 | Medium | 証明書サービスの監査フィルターが変更されました。 |
| 4890 | 794 | Medium | 証明書サービスの証明書マネージャーの設定が変更されました。 |
| 4892 | 796 | Medium | 証明書サービスのプロパティが変更されました。 |
| 4896 | 800 | Medium | 証明書データベースから 1 つ以上の行が削除されました。 |
| 4906 | 該当なし | Medium | CrashOnAuditFail 値が変更されました。 |
| 4907 | 該当なし | Medium | オブジェクトの監査設定が変更されました。 |
| 4908 | 該当なし | Medium | 特殊グループのログオン テーブルが変更されました。 |
| 4912 | 807 | Medium | ユーザー別の監査ポリシーが変更されました。 |
| 4960 | 該当なし | Medium | IPsec は、整合性チェックに失敗した着信パケットを破棄しました。 この問題が解決しない場合は、ネットワークの問題や、このコンピューターへの転送中にそのパケットが変更されていることを示している可能性があります。 リモート コンピューターから送信されたパケットとこのコンピューターが受信するパケットが同じであることを確認してください。 このエラーも、他の IPsec 実装との相互運用性の問題を示している可能性があります。 |
| 4961 | 該当なし | Medium | IPsec は、リプレイ チェックに失敗した着信パケットを破棄しました。 この問題が解決しない場合、このコンピューターに対するリプレイ攻撃を示している可能性があります。 |
| 4962 | 該当なし | Medium | IPsec は、リプレイ チェックに失敗した着信パケットを破棄しました。 着信パケットのシーケンス番号が小さすぎたため、リプレイでないことを確認できませんでした。 |
| 4963 | 該当なし | Medium | IPsec は、セキュリティで保護された着信クリア テキストを破棄しました。 これは通常、リモート コンピューターがこのコンピューターに通知せずに IPsec ポリシーを変更したためです。 スプーフィング攻撃の試みの可能性もあります。 |
| 4965 | 該当なし | Medium | IPsec は、不適切なセキュリティ パラメーター インデックス (SPI) を持つパケットをリモート コンピューターから受信しました。 これは通常、正常に機能しないハードウェアによりパケットが破損しているために発生します。 これらのエラーが解決されない場合、リモート コンピューターから送信されたパケットとこのコンピューターが受信するパケットが同じであることを確認してください。 このエラーも、他の IPsec 実装との相互運用性の問題を示している可能性があります。 その場合、接続が妨害されているのでなければ、これらのイベントは無視できます。 |
| 4976 | 該当なし | Medium | メイン モード ネゴシエーション中、IPsec が無効なネゴシエーション パケットを受信しました。 この問題が解決しない場合、ネットワークの問題や、このネゴシエーションの変更またはレプレイの試みを示している可能性があります。 |
| 4977 | 該当なし | Medium | クイック モード ネゴシエーション中、IPsec が無効なネゴシエーション パケットを受信しました。 この問題が解決しない場合、ネットワークの問題や、このネゴシエーションの変更またはレプレイの試みを示している可能性があります。 |
| 4978 | 該当なし | Medium | 拡張モード ネゴシエーション中、IPsec が無効なネゴシエーション パケットを受信しました。 この問題が解決しない場合、ネットワークの問題や、このネゴシエーションの変更またはレプレイの試みを示している可能性があります。 |
| 4983 | 該当なし | Medium | IPsec 拡張モード ネゴシエーションに失敗しました。 対応するメイン モード セキュリティ アソシエーションが削除されました。 |
| 4984 | 該当なし | Medium | IPsec 拡張モード ネゴシエーションに失敗しました。 対応するメイン モード セキュリティ アソシエーションが削除されました。 |
| 5027 | 該当なし | Medium | Windows ファイアウォール サービスで、ローカル記憶域からセキュリティ ポリシーを取得できませんでした。 このサービスでは、現在のポリシーが引き続き適用されます。 |
| 5028 | 該当なし | Medium | Windows ファイアウォール サービスで、新しいセキュリティ ポリシーを解析できませんでした。 このサービスでは、現在適用されているポリシーが引き続き使用されます。 |
| 5029 | 該当なし | Medium | Windows ファイアウォール サービスで、ドライバーの初期化に失敗しました。 このサービスでは、現在のポリシーが引き続き適用されます。 |
| 5030 | 該当なし | Medium | Windows ファイアウォール サービスを開始できませんでした。 |
| 5035 | 該当なし | Medium | Windows ファイアウォール ドライバーを開始できませんでした。 |
| 5037 | 該当なし | Medium | Windows ファイアウォール ドライバで、重大なランタイム エラーが検出されました。 サービスを終了します。 |
| 5038 | 該当なし | Medium | コードの整合性によって、ファイルのイメージ ハッシュが有効でないと判断されました。 このファイルは、無許可の変更によって破損しているか、無効なハッシュがディスク デバイス エラーの可能性を示している場合があります。 |
| 5120 | 該当なし | Medium | OCSP レスポンダーサービスが開始されました |
| 5121 | 該当なし | Medium | OCSP レスポンダー サービスが停止しました |
| 5122 | 該当なし | Medium | OCSP レスポンダー サービスで構成エントリが変更されました |
| 5123 | 該当なし | Medium | OCSP レスポンダー サービスで構成エントリが変更されました |
| 5376 | 該当なし | Medium | 資格情報マネージャーの資格情報がバックアップされました。 |
| 5377 | 該当なし | Medium | 資格情報マネージャーの資格情報がバックアップから復元されました。 |
| 5453 | 該当なし | Medium | IKE and AuthIP IPsec Keying Modules (IKEEXT) サービスが開始されていないため、リモート コンピューターとの IPsec ネゴシエーションが失敗しました。 |
| 5480 | 該当なし | Medium | IPsec サービスは、コンピューター上のネットワーク インターフェイスの完全なリストを取得できませんでした。 この結果、適用された IPsec フィルターによって提供される保護を一部のネットワーク インターフェイスが受けることができないため、潜在的なセキュリティ上のリスクが生じます。 IP セキュリティ モニター スナップインを使って問題を診断してください。 |
| 5483 | 該当なし | Medium | IPsec サービスは、RPC サーバーを初期化できませんでした。 IPsec サービスを開始できませんでした。 |
| 5484 | 該当なし | Medium | IPsec サービスで深刻な障害が発生したため、シャットダウンされました。 IPsec サービスがシャットダウンされると、コンピューターでのネットワーク攻撃のリスクが高まったり、コンピューターが潜在的なセキュリティ上のリスクにさらされる可能性があります。 |
| 5485 | 該当なし | Medium | IPsec サービスは、ネットワーク インターフェイスのプラグ アンド プレイ イベントで一部の IPsec フィルターを処理できませんでした。 この結果、適用された IPsec フィルターによって提供される保護を一部のネットワーク インターフェイスが受けることができないため、潜在的なセキュリティ上のリスクが生じます。 IP セキュリティ モニター スナップインを使って問題を診断してください。 |
| 5827 | 該当なし | Medium | Netlogon サービスは、コンピューター アカウントからの、Netlogon のセキュリティで保護されたチャネルへの脆弱な接続を拒否しました。 |
| 5828 | 該当なし | Medium | Netlogon サービスは、信頼アカウントを使用した、Netlogon のセキュリティで保護されたチャネルへの脆弱な接続を拒否しました。 |
| 6145 | 該当なし | Medium | グループ ポリシー オブジェクト内のセキュリティ ポリシーを処理中に 1 つ以上のエラーが発生しました。 |
| 6273 | 該当なし | Medium | ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。 |
| 6274 | 該当なし | Medium | ネットワーク ポリシー サーバーがユーザーの要求を破棄しました。 |
| 6275 | 該当なし | Medium | ネットワーク ポリシー サーバーがユーザーのアカウント要求を破棄しました。 |
| 6276 | 該当なし | Medium | ネットワーク ポリシー サーバーがユーザーを検疫しました。 |
| 6277 | 該当なし | Medium | ネットワーク ポリシー サーバーがユーザーにアクセスを許可しましたが、ホストが定義済みの正常性ポリシーを満たしていなかったため、プロベーションしています。 |
| 6278 | 該当なし | Medium | ホストが定義済みの正常性ポリシーを満たしていたため、ネットワーク ポリシー サーバーはユーザーにフル アクセスを許可しました。 |
| 6279 | 該当なし | Medium | ネットワーク ポリシー サーバーは、認証の試行に繰り返し失敗したため、ユーザー アカウントをロックしました。 |
| 6280 | 該当なし | Medium | ネットワーク ポリシー サーバーは、ユーザー アカウントのロックを解除しました。 |
| - | 640 | Medium | 一般的なアカウント データベースが変更されました |
| - | 619 | Medium | サービスの品質ポリシーが変更されました |
| 24586 | 該当なし | Medium | ボリュームの変換中にエラーが発生しました |
| 24592 | 該当なし | Medium | ボリューム %2 の変換を自動的に再開しようとして失敗しました。 |
| 24593 | 該当なし | Medium | メタデータの書き込み: ボリューム %2 がメタデータを変更しようとしているときにエラーを返しました。 エラーが引き続き発生する場合は、ボリュームの暗号化を解除します |
| 24594 | 該当なし | Medium | メタデータの再構築: ボリューム %2 にメタデータのコピーを書き込もうとして失敗したため、ディスクが破損している可能性があります。 エラーが引き続き発生する場合は、ボリュームの暗号化を解除します。 |
| 4608 | 512 | 低 | Windows を起動しています。 |
| 4609 | 513 | 低 | Windows をシャットダウンしています。 |
| 4610 | 514 | 低 | ローカル セキュリティ機関によって、認証パッケージが読み込まれました。 |
| 4611 | 515 | 低 | 信頼されたログオン プロセスがローカル セキュリティ機関に登録されています。 |
| 4612 | 516 | 低 | 監査メッセージをキューに登録するために割り当てられた内部リソースをすべて使用したため、一部の監査が失われました。 |
| 4614 | 518 | 低 | 通知パッケージがセキュリティ アカウント マネージャーにより読み込まれています。 |
| 4615 | 519 | 低 | LPC ポートの無効な使用。 |
| 4616 | 520 | 低 | システム時刻が変更されました。 |
| 4622 | 該当なし | 低 | セキュリティ パッケージがローカル セキュリティ機関によって読み込まれました。 |
| 4624 | 528,540 | 低 | アカウントが正常にログオンしました。 |
| 4625 | 529-537,539 | 低 | アカウントがログオンに失敗しました。 |
| 4634 | 538 | 低 | アカウントがログオフされます。 |
| 4646 | 該当なし | 低 | IKE DoS-防止モードを開始しました。 |
| 4647 | 551 | 低 | ユーザーがログオフを開始しました。 |
| 4648 | 552 | 低 | 明示的な資格情報を使ったログオンが試行されました。 |
| 4650 | 該当なし | 低 | IPsec メイン モード セキュリティ アソシエーションが確立されました。 拡張モードが確立されませんでした。 証明書認証が使われませんでした。 |
| 4651 | 該当なし | 低 | IPsec メイン モード セキュリティ アソシエーションが確立されました。 拡張モードが確立されませんでした。 認証に証明書が使われませんでした。 |
| 4652 | 該当なし | 低 | IPsec メイン モード ネゴシエーションに失敗しました。 |
| 4653 | 該当なし | 低 | IPsec メイン モード ネゴシエーションに失敗しました。 |
| 4654 | 該当なし | 低 | IPsec クイックモード ネゴシエーションに失敗しました。 |
| 4655 | 該当なし | 低 | IPsec メイン モード セキュリティ アソシエーションが終了しました。 |
| 4656 | 560 | 低 | オブジェクトに対するハンドルが要求されました。 |
| 4657 | 567 | 低 | レジストリ値が変更されました。 |
| 4658 | 562 | 低 | オブジェクトに対するハンドルが閉じられました。 |
| 4659 | 該当なし | 低 | オブジェクトに対するハンドルが削除を目的として要求されました。 |
| 4660 | 564 | 低 | オブジェクトが削除されました。 |
| 4661 | 565 | 低 | オブジェクトに対するハンドルが要求されました。 |
| 4662 | 566 | 低 | オブジェクトで操作は実行されませんでした。 |
| 4663 | 567 | 低 | オブジェクトへのアクセスが試行されました。 |
| 4664 | 該当なし | 低 | ハード リンクの作成が試みられました。 |
| 4665 | 該当なし | 低 | アプリケーションのクライアント コンテキストを作成しようとしました。 |
| 4666 | 該当なし | 低 | アプリケーションが操作を試行しました。 |
| 4667 | 該当なし | 低 | アプリケーションのクライアント コンテキストが削除されました。 |
| 4668 | 該当なし | 低 | アプリケーションが初期化されました。 |
| 4670 | 該当なし | 低 | オブジェクトのアクセス許可が変更されました。 |
| 4671 | 該当なし | 低 | ブロックされた序数への TBS を介したアクセスがアプリケーションから試行されました。 |
| 4672 | 576 | 低 | 新しいログオンに特権が割り当てられました。 |
| 4673 | 577 | 低 | 特権のあるサービスが呼び出されました。 |
| 4674 | 578 | 低 | 特権のあるオブジェクトで操作が試行されました。 |
| 4688 | 592 | 低 | 新しいプロセスが作成されました。 |
| 4689 | 593 | 低 | プロセスが終了しました。 |
| 4690 | 594 | 低 | オブジェクトに対するハンドルの複製が試みられました。 |
| 4691 | 595 | 低 | オブジェクトへの間接アクセスが要求されました。 |
| 4694 | 該当なし | 低 | 監査可能な保護されたデータの保護が試みられました。 |
| 4695 | 該当なし | 低 | 監査可能な保護されたデータの保護解除が試みられました。 |
| 4696 | 600 | 低 | プライマリ トークンがプロセスに割り当てられました。 |
| 4697 | 601 | 低 | サービスのインストールを試みる |
| 4698 | 602 | 低 | スケジュールされたタスクが作成されました。 |
| 4699 | 602 | 低 | スケジュールされたタスクが削除されました。 |
| 4700 | 602 | 低 | スケジュールされたタスクが有効になりました。 |
| 4701 | 602 | 低 | スケジュールされたタスクが無効になりました。 |
| 4702 | 602 | 低 | スケジュールされたタスクがアップデートされました。 |
| 4704 | 608 | 低 | ユーザー権限が割り当てられました。 |
| 4705 | 609 | 低 | ユーザー権限が削除されました。 |
| 4707 | 611 | 低 | ドメインの信頼が削除されました。 |
| 4709 | 該当なし | 低 | IPsec サービスが開始されました。 |
| 4710 | 該当なし | 低 | IPsec サービスが無効になりました。 |
| 4711 | 該当なし | 低 | 次のいずれかを含めることができます: PAStore エンジンは、ローカルにキャッシュされている Active Directory ストレージ IPsec ポリシーのコピーをコンピューターに適用します。 PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーをコンピューターで適用しました。 PAStore エンジンは、ローカル レジストリ記憶域の IPsec ポリシーをコンピューターで適用しました。 PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーのローカルにキャッシュされたコピーをコンピューターで適用できませんでした。 PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーをコンピューターで適用できませんでした。 PAStore エンジンは、ローカル レジストリ記憶域の IPsec ポリシーをコンピューターで適用できませんでした。 PAStore エンジンは、アクティブな IPsec ポリシーの一部のルールをコンピューターで適用できませんでした。 PAStore エンジンは、ディレクトリ記憶域の IPsec ポリシーをコンピューターで読み込むことができませんでした。 PAStore エンジンは、ディレクトリ記憶域の IPsec ポリシーをコンピューターで読み込みました。 PAStore エンジンは、ローカル記憶域の IPsec ポリシーをコンピューターで読み込むことができませんでした。 PAStore エンジンがローカル ストレージ IPsec ポリシーをコンピューターに読み込みました。PAStore エンジンは、アクティブな IPsec ポリシーの変更をポーリングし、変更を検出しませんでした。 |
| 4712 | 該当なし | 低 | IPsec サービスは、重大なエラーの可能性を検出しました。 |
| 4717 | 621 | 低 | アカウントに、システムのセキュリティ アクセスが許可されました。 |
| 4718 | 622 | 低 | アカウントから、システムのセキュリティ アクセスが削除されました。 |
| 4720 | 624 | 低 | ユーザー アカウントが作成されました。 |
| 4722 | 626 | 低 | ユーザー アカウントが有効化されました。 |
| 4723 | 627 | 低 | An attempt was made to change an account's password. (アカウントのパスワードを変更しようとしました。) |
| 4725 | 629 | 低 | ユーザー アカウントが無効化されました。 |
| 4726 | 630 | 低 | ユーザー アカウントが削除されました。 |
| 4728 | 632 | 低 | セキュリティが有効なグローバル グループにメンバーが追加されました。 |
| 4729 | 633 | 低 | セキュリティが有効なグローバル グループのメンバーが削除されました。 |
| 4730 | 634 | 低 | セキュリティが有効なグローバル グループが削除されました。 |
| 4731 | 635 | 低 | セキュリティが有効なローカル グループが作成されました。 |
| 4732 | 636 | 低 | セキュリティが有効なローカル グループにメンバーが追加されました。 |
| 4733 | 637 | 低 | セキュリティが有効なローカル グループのメンバーが削除されました。 |
| 4734 | 638 | 低 | セキュリティが有効なローカル グループが削除されました。 |
| 4738 | 642 | 低 | ユーザー アカウントが変更されました。 |
| 4740 | 644 | 低 | ユーザー アカウントがロックアウトされました。 |
| 4741 | 645 | 低 | コンピューター アカウントが変更されました。 |
| 4742 | 646 | 低 | コンピューター アカウントが変更されました。 |
| 4743 | 647 | 低 | コンピューター アカウントが削除されました。 |
| 4744 | 648 | 低 | セキュリティが無効なローカル グループが作成されました。 |
| 4745 | 649 | 低 | セキュリティが無効なローカル グループが変更されました。 |
| 4746 | 650 | 低 | セキュリティが無効なローカル グループにメンバーが追加されました。 |
| 4747 | 651 | 低 | セキュリティが無効なローカル グループのメンバーが削除されました。 |
| 4748 | 652 | 低 | セキュリティが無効なローカル グループが削除されました。 |
| 4749 | 653 | 低 | セキュリティが無効なグローバル グループが作成されました。 |
| 4750 | 654 | 低 | セキュリティが無効なグローバル グループが変更されました。 |
| 4751 | 655 | 低 | セキュリティが無効なグローバル グループにメンバーが追加されました。 |
| 4752 | 656 | 低 | セキュリティが無効なグローバル グループのメンバーが削除されました。 |
| 4753 | 657 | 低 | セキュリティが無効なグローバル グループが削除されました。 |
| 4756 | 660 | 低 | セキュリティが有効なユニバーサル グループにメンバーが追加されました。 |
| 4757 | 661 | 低 | セキュリティが有効なユニバーサル グループのメンバーが削除されました。 |
| 4758 | 662 | 低 | セキュリティが有効なユニバーサル グループが削除されました。 |
| 4759 | 663 | 低 | セキュリティが無効なユニバーサル グループが作成されました。 |
| 4760 | 664 | 低 | セキュリティが無効なユニバーサル グループが変更されました。 |
| 4761 | 665 | 低 | セキュリティが無効なユニバーサル グループにメンバーが追加されました。 |
| 4762 | 666 | 低 | セキュリティが無効なユニバーサル グループのメンバーが削除されました。 |
| 4767 | 671 | 低 | ユーザー アカウントのロックが解除されました。 |
| 4768 | 672,676 | 低 | Kerberos 認証チケット (TGT) が要求されました。 |
| 4769 | 673 | 低 | Kerberos サービス チケットが要求されました。 |
| 4770 | 674 | 低 | Kerberos サービス チケットが更新されました。 |
| 4771 | 675 | 低 | Kerberos 事前認証が失敗しました。 |
| 4772 | 672 | 低 | Kerberos 認証チケット要求が失敗しました。 |
| 4774 | 678 | 低 | アカウントがログオンにマップされました。 |
| 4775 | 679 | 低 | アカウントをログオンにマップできませんでした。 |
| 4776 | 680,681 | 低 | ドメイン コントローラーがアカウントの資格情報の検証を試みました。 |
| 4777 | 該当なし | 低 | ドメイン コントローラーがアカウントの資格情報の検証に失敗しました。 |
| 4778 | 682 | 低 | セッションは Window Station に再接続しました。 |
| 4779 | 683 | 低 | セッションは Window Station から切断されました。 |
| 4781 | 685 | 低 | アカウント名が変更されました。 |
| 4782 | 該当なし | 低 | アカウントにアクセスされたパスワード ハッシュ。 |
| 4783 | 667 | 低 | 基本アプリケーション グループが作成されました。 |
| 4784 | 該当なし | 低 | 基本アプリケーション グループが変更されました。 |
| 4785 | 689 | 低 | 基本アプリケーション グループにメンバーが追加されました。 |
| 4786 | 690 | 低 | 基本アプリケーション グループからメンバーが削除されました。 |
| 4787 | 691 | 低 | 基本アプリケーション グループに非メンバーが追加されました。 |
| 4788 | 692 | 低 | 基本アプリケーション グループから非メンバーが削除されました。 |
| 4789 | 693 | 低 | 基本アプリケーション グループが削除されました。 |
| 4790 | 694 | 低 | LDAP クエリ グループが作成されました。 |
| 4793 | 該当なし | 低 | パスワード ポリシー確認 API が呼び出されました。 |
| 4800 | 該当なし | 低 | ワークステーションがロックされました。 |
| 4801 | 該当なし | 低 | ワークステーションのロックが解除されました。 |
| 4802 | 該当なし | 低 | スクリーン セーバーが起動しました。 |
| 4803 | 該当なし | 低 | スクリーン セーバーが解除されました。 |
| 4864 | 該当なし | 低 | 名前空間の競合が検出されました。 |
| 4869 | 773 | 低 | 証明書サービスは再送信された証明書の要求を受信しました。 |
| 4871 | 775 | 低 | 証明書サービスは、証明書失効リスト (CRL) を公開する要求を受信しました。 |
| 4872 | 776 | 低 | 証明書サービスは証明書失効リスト (CRL) を公開しました。 |
| 4873 | 777 | 低 | 証明書の要求の拡張が変更されました。 |
| 4874 | 778 | 低 | 証明書の要求の属性が変更されました。 |
| 4875 | 779 | 低 | 証明書サービスはシャットダウンの要求を受信しました。 |
| 4876 | 780 | 低 | 証明書サービスのバックアップが開始されました。 |
| 4877 | 781 | 低 | 証明書サービスのバックアップが完了しました。 |
| 4878 | 782 | 低 | 証明書サービスの復元が開始されました。 |
| 4879 | 783 | 低 | 証明書サービスの復元が完了しました。 |
| 4880 | 784 | 低 | 証明書サービスが開始されました。 |
| 4881 | 785 | 低 | 証明書サービスが停止されました。 |
| 4883 | 787 | 低 | 証明書サービスはアーカイブされたキーを取得しました。 |
| 4884 | 788 | 低 | 証明書サービスは証明書をデータベースにインポートしました。 |
| 4886 | 790 | 低 | 証明書サービスは証明書の要求を受信しました。 |
| 4887 | 791 | 低 | 証明書サービスは証明書の要求を許可し、証明書を発行しました。 |
| 4888 | 792 | 低 | 証明書サービスは証明書の要求を拒否しました。 |
| 4889 | 793 | 低 | 証明書サービスは証明書の要求の状態を保留に設定しました。 |
| 4891 | 795 | 低 | 証明書サービスの構成エントリが変更されました。 |
| 4893 | 797 | 低 | 証明書サービスはキーをアーカイブしました。 |
| 4894 | 798 | 低 | 証明書サービスはキーをインポートしてアーカイブしました。 |
| 4895 | 799 | 低 | 証明書サービスが Active Directory ドメイン サービスに CA 証明書を発行しました。 |
| 4898 | 802 | 低 | 証明書サービスがテンプレートを読み込みました。 |
| 4902 | 該当なし | 低 | ユーザー別の監査ポリシー表が作成されました。 |
| 4904 | 該当なし | 低 | セキュリティ イベントのソースを登録しようとしました。 |
| 4905 | 該当なし | 低 | セキュリティ イベントのソースを登録解除しようとしました。 |
| 4909 | 該当なし | 低 | TBS のローカル ポリシー設定が変更されました。 |
| 4910 | 該当なし | 低 | TBS のグループ ポリシー設定が変更されました。 |
| 4928 | 該当なし | 低 | Active Directory レプリカ ソースの名前付けコンテキストが確立されました。 |
| 4929 | 該当なし | 低 | Active Directory レプリカ ソースの名前付けコンテキストが削除されました。 |
| 4930 | 該当なし | 低 | Active Directory レプリカ ソースの名前付けコンテキストが変更されました。 |
| 4931 | 該当なし | 低 | Active Directory レプリカ ターゲットの名前付けコンテキストが変更されました。 |
| 4932 | 該当なし | 低 | Active Directory の名前付けコンテキストのレプリカの同期が開始しました。 |
| 4933 | 該当なし | 低 | Active Directory の名前付けコンテキストのレプリカの同期が終了しました。 |
| 4934 | 該当なし | 低 | Active Directory オブジェクトの属性がレプリケートされました。 |
| 4935 | 該当なし | 低 | レプリケーション エラーが開始します。 |
| 4936 | 該当なし | 低 | レプリケーション エラーが終了します。 |
| 4937 | 該当なし | 低 | レプリカから残留オブジェクトが削除されました。 |
| 4944 | 該当なし | 低 | 次のポリシーは、Windows ファイアウォールの起動時にアクティブでした。 |
| 4945 | 該当なし | 低 | Windows ファイアウォールの起動時に規則が表示されました。 |
| 4946 | 該当なし | 低 | Windows ファイアウォールの例外の一覧が変更されました。 規則が追加されました。 |
| 4947 | 該当なし | 低 | Windows ファイアウォールの例外の一覧が変更されました。 規則が変更されました。 |
| 4948 | 該当なし | 低 | Windows ファイアウォールの例外の一覧が変更されました。 規則が削除されました。 |
| 4949 | 該当なし | 低 | Windows ファイアウォールの設定が既定値に戻されました。 |
| 4950 | 該当なし | 低 | Windows ファイアウォールの設定が変更されました。 |
| 4951 | 該当なし | 低 | メジャー バージョン番号が Windows ファイアウォールで認識されなかったため、規則が無視されました。 |
| 4952 | 該当なし | 低 | 規則のマイナ バージョン番号が Windows ファイアウォールで認識されなかったため、規則の一部が無視されました。 規則のその他の部分は適用されます。 |
| 4953 | 該当なし | 低 | Windows ファイアウォールで、解析できなかった規則が無視されました。 |
| 4954 | 該当なし | 低 | Windows ファイアウォールのグループ ポリシー設定が変更されました。 新しい設定が適用されています。 |
| 4956 | 該当なし | 低 | Windows ファイアウォールでアクティブなプロファイルが変更されました。 |
| 4957 | 該当なし | 低 | Windows ファイアウォールで次の規則が適用されませんでした。 |
| 4958 | 該当なし | 低 | このコンピューターで構成されていないアイテムを次の規則が参照しているために、Windows ファイアウォールで規則が適用されませんでした。 |
| 4979 | 該当なし | 低 | IPsec メイン モードおよび拡張モードのセキュリティ アソシエーションが確立されました。 |
| 4980 | 該当なし | 低 | IPsec メイン モードおよび拡張モードのセキュリティ アソシエーションが確立されました。 |
| 4981 | 該当なし | 低 | IPsec メイン モードおよび拡張モードのセキュリティ アソシエーションが確立されました。 |
| 4982 | 該当なし | 低 | IPsec メイン モードおよび拡張モードのセキュリティ アソシエーションが確立されました。 |
| 4985 | 該当なし | 低 | トランザクションの状態が変更されました。 |
| 5024 | 該当なし | 低 | Windows ファイアウォール サービスが正常に開始されました。 |
| 5025 | 該当なし | 低 | Windows ファイアウォール サービスが停止しました。 |
| 5031 | 該当なし | 低 | Windows ファイアウォール サービスは、ネットワーク上の着信接続のアプリケーションによる受け入れをブロックしました。 |
| 5032 | 該当なし | 低 | Windows ファイアウォールでは、ネットワーク上の着信接続のアプリケーションによる受け入れをブロックしたことをユーザーに通知できませんでした。 |
| 5033 | 該当なし | 低 | Windows ファイアウォール ドライバが正常に開始しました。 |
| 5034 | 該当なし | 低 | Windows ファイアウォール ドライバーが停止しました。 |
| 5039 | 該当なし | 低 | レジストリ キーが仮想化されました。 |
| 5040 | 該当なし | 低 | IPsec 設定に変更が加えられました。 認証セットが追加されました。 |
| 5041 | 該当なし | 低 | IPsec 設定に変更が加えられました。 認証セットが変更されました。 |
| 5042 | 該当なし | 低 | IPsec 設定に変更が加えられました。 認証セットが追加されました。 |
| 5043 | 該当なし | 低 | IPsec 設定に変更が加えられました。 接続セキュリティのルールが追加されました。 |
| 5044 | 該当なし | 低 | IPsec 設定に変更が加えられました。 接続セキュリティのルールが変更されました。 |
| 5045 | 該当なし | 低 | IPsec 設定に変更が加えられました。 接続セキュリティのルールが削除されました。 |
| 5046 | 該当なし | 低 | IPsec 設定に変更が加えられました。 暗号セットが追加されました。 |
| 5047 | 該当なし | 低 | IPsec 設定に変更が加えられました。 暗号セットが変更されました。 |
| 5048 | 該当なし | 低 | IPsec 設定に変更が加えられました。 暗号セットが削除されました。 |
| 5050 | 該当なし | 低 | InetFwProfile.FirewallEnabled(False) の呼び出しを使用して、プログラムによって Windows ファイアウォールを無効にする試み |
| 5051 | 該当なし | 低 | ファイルが仮想化されました。 |
| 5056 | 該当なし | 低 | 暗号の自己テストが実行されました。 |
| 5057 | 該当なし | 低 | 暗号化のプリミティブ操作に失敗しました。 |
| 5058 | 該当なし | 低 | キー ファイルの操作。 |
| 5059 | 該当なし | 低 | キーの移行操作。 |
| 5060 | 該当なし | 低 | 検証操作に失敗しました。 |
| 5061 | 該当なし | 低 | 暗号化操作。 |
| 5062 | 該当なし | 低 | カーネルモードの暗号の自己テストが実行されました。 |
| 5063 | 該当なし | 低 | 暗号化プロバイダーの操作が試行されました。 |
| 5064 | 該当なし | 低 | 暗号化コンテキストの操作が試行されました。 |
| 5065 | 該当なし | 低 | 暗号化コンテキストの変更が試行されました。 |
| 5066 | 該当なし | 低 | 暗号化関数の操作が試行されました。 |
| 5067 | 該当なし | 低 | 暗号化関数の変更が試行されました。 |
| 5068 | 該当なし | 低 | 暗号化関数のプロバイダーの操作が試行されました。 |
| 5069 | 該当なし | 低 | 暗号化関数のプロパティの操作が試行されました。 |
| 5070 | 該当なし | 低 | 暗号化関数のプロパティの変更が試行されました。 |
| 5125 | 該当なし | 低 | OCSP レスポンダー サービスに要求が送信されました |
| 5126 | 該当なし | 低 | 署名証明書は OCSP レスポンダー サービスによって自動的に更新されました |
| 5127 | 該当なし | 低 | OCSP 失効プロバイダーが失効情報を正常に更新しました |
| 5136 | 566 | 低 | ディレクトリ サービス オブジェクトが変更されました。 |
| 5137 | 566 | 低 | ディレクトリ サービス オブジェクトが作成されました。 |
| 5138 | 該当なし | 低 | ディレクトリ サービス オブジェクトの削除が取り消されました。 |
| 5139 | 該当なし | 低 | ディレクトリ サービス オブジェクトが移動されました。 |
| 5140 | 該当なし | 低 | ネットワーク共有オブジェクトにアクセスがありました。 |
| 5141 | 該当なし | 低 | ディレクトリ サービス オブジェクトが削除されました。 |
| 5152 | 該当なし | 低 | Windows フィルタリング プラットフォームにより、パケットがブロックされました。 |
| 5153 | 該当なし | 低 | より制限の厳しい Windows フィルタリング プラットフォーム フィルターにより、パケットがブロックされました。 |
| 5154 | 該当なし | 低 | Windows フィルタリング プラットフォームにより、アプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました。 |
| 5155 | 該当なし | 低 | Windows フィルタリング プラットフォームにより、アプリケーションまたはサービスによるポートでの着信接続のリッスンがブロックされました。 |
| 5156 | 該当なし | 低 | Windows フィルタリング プラットフォームにより、接続が許可されました。 |
| 5157 | 該当なし | 低 | Windows フィルタリング プラットフォームにより、接続がブロックされました。 |
| 5158 | 該当なし | 低 | Windows フィルタリング プラットフォームにより、ローカル ポートへのバインドが許可されました。 |
| 5159 | 該当なし | 低 | Windows フィルタリング プラットフォームにより、ローカル ポートへのバインドがブロックされました。 |
| 5378 | 該当なし | 低 | 要求された資格情報の委任がポリシーによって許可されませんでした。 |
| 5440 | 該当なし | 低 | Windows フィルタリング プラットフォームのベース フィルター エンジンが起動したときに、次のコールアウトが存在していました。 |
| 5441 | 該当なし | 低 | Windows フィルタリング プラットフォームのベース フィルター エンジンが起動したときに、次のフィルターが存在していました。 |
| 5442 | 該当なし | 低 | Windows フィルタリング プラットフォームのベース フィルター エンジンが起動したときに、次のプロバイダーが存在していました。 |
| 5443 | 該当なし | 低 | Windows フィルタリング プラットフォームのベース フィルター エンジンが起動したときに、次のプロバイダー コンテキストが存在していました。 |
| 5444 | 該当なし | 低 | Windows フィルタリング プラットフォームのベース フィルター エンジンが起動したときに、次のサブレイヤーが存在していました。 |
| 5446 | 該当なし | 低 | Windows フィルタリング プラットフォーム コールアウトが変更されました。 |
| 5447 | 該当なし | 低 | Windows Filtering Platform フィルターが変更されました。 |
| 5448 | 該当なし | 低 | Windows フィルタリング プラットフォーム プロバイダーが変更されました。 |
| 5449 | 該当なし | 低 | Windows フィルタリング プラットフォーム コンテキストが変更されました。 |
| 5450 | 該当なし | 低 | Windows フィルタリング プラットフォーム サブレイヤーが変更されました。 |
| 5451 | 該当なし | 低 | IPsec クイック モード セキュリティ アソシエーションが確立されました。 |
| 5452 | 該当なし | 低 | IPsec クイック モード セキュリティ アソシエーションが終了しました。 |
| 5456 | 該当なし | 低 | PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーをコンピューターで適用しました。 |
| 5457 | 該当なし | 低 | PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーをコンピューターで適用できませんでした。 |
| 5458 | 該当なし | 低 | PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーのローカルにキャッシュされたコピーをコンピューターで適用しました。 |
| 5459 | 該当なし | 低 | PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーのローカルにキャッシュされたコピーをコンピューターで適用できませんでした。 |
| 5460 | 該当なし | 低 | PAStore エンジンは、ローカル レジストリ記憶域の IPsec ポリシーをコンピューターで適用しました。 |
| 5461 | 該当なし | 低 | PAStore エンジンは、ローカル レジストリ記憶域の IPsec ポリシーをコンピューターで適用できませんでした。 |
| 5462 | 該当なし | 低 | PAStore エンジンは、アクティブな IPsec ポリシーの一部のルールをコンピューターで適用できませんでした。 IP セキュリティ モニター スナップインを使って問題を診断してください。 |
| 5463 | 該当なし | 低 | PAStore エンジンは、アクティブな IPsec ポリシーへの変更をポーリングし、変更がないことを検出しました。 |
| 5464 | 該当なし | 低 | PAStore エンジンは、アクティブな IPsec ポリシーへの変更をポーリングして変更を検出し、それらの変更を IPsec サービスに適用しました。 |
| 5465 | 該当なし | 低 | PAStore エンジンは、IPsec ポリシーの強制再読み込みのコントロールを受け取り、コントロールを正常に処理しました。 |
| 5466 | 該当なし | 低 | PAStore エンジンは、Active Directory IPsec ポリシーの変更をポーリングし、Active Directory に到達できないと判断したため、Active Directory IPsec ポリシーのキャッシュされたポリシーを代わりに使用します。 前回のポーリング以降 Active Directory IPsec ポリシーに加えられた変更を適用できませんでした。 |
| 5467 | 該当なし | 低 | PAStore エンジンは、Active Directory IPsec ポリシーの変更をポーリングし、Active Directory に到達できると判断しましたが、ポリシーに変更がないことを検出しました。 Active Directory IPsec ポリシーのキャッシュされたコピーは使用されなくなりました。 |
| 5468 | 該当なし | 低 | PAStore エンジンは、Active Directory IPsec ポリシーの変更をポーリングして、Active Directory に到達できると判断し、ポリシーの変更を検出したため、それらの変更を適用しました。 Active Directory IPsec ポリシーのキャッシュされたコピーは使用されなくなりました。 |
| 5471 | 該当なし | 低 | PAStore エンジンは、ローカル記憶域の IPsec ポリシーをコンピューターで読み込みました。 |
| 5472 | 該当なし | 低 | PAStore エンジンは、ローカル記憶域の IPsec ポリシーをコンピューターで読み込むことができませんでした。 |
| 5473 | 該当なし | 低 | PAStore エンジンは、ディレクトリ記憶域の IPsec ポリシーをコンピューターで読み込みました。 |
| 5474 | 該当なし | 低 | PAStore エンジンは、ディレクトリ記憶域の IPsec ポリシーをコンピューターで読み込むことができませんでした。 |
| 5477 | 該当なし | 低 | PAStore エンジンは、クイック モード フィルターを追加できませんでした。 |
| 5479 | 該当なし | 低 | IPsec サービスが正常にシャットダウンされました。 IPsec サービスがシャットダウンされると、コンピューターでのネットワーク攻撃のリスクが高まったり、コンピューターが潜在的なセキュリティ上のリスクにさらされる可能性があります。 |
| 5632 | 該当なし | 低 | ワイヤレス ネットワーク認証が要求されました。 |
| 5633 | 該当なし | 低 | ワイヤード (有線) ネットワーク認証が要求されました。 |
| 5712 | 該当なし | 低 | リモート プロシージャ コール (RPC) が試行されました。 |
| 5888 | 該当なし | 低 | COM+ カタログのオブジェクトが変更されました。 |
| 5889 | 該当なし | 低 | COM+ カタログからオブジェクトが削除されました。 |
| 5890 | 該当なし | 低 | COM+ カタログにオブジェクトが追加されました。 |
| 6008 | 該当なし | 低 | 予期せず以前のシステムがシャットダウンしました |
| 6144 | 該当なし | 低 | グループ ポリシー オブジェクトのセキュリティ ポリシーは正しく適用されました。 |
| 6272 | 該当なし | 低 | ネットワーク ポリシー サーバーがユーザーのアクセスを許可しました。 |
| 該当なし | 561 | 低 | オブジェクトに対するハンドルが要求されました。 |
| 該当なし | 563 | 低 | 削除用に開いているオブジェクト |
| 該当なし | 625 | 低 | ユーザー アカウントの種類が変更されました |
| 該当なし | 613 | 低 | IPsec ポリシー エージェントが開始されました |
| 該当なし | 614 | 低 | IPsec ポリシー エージェントが無効化されました |
| 該当なし | 615 | 低 | IPsec ポリシー エージェント |
| 該当なし | 616 | 低 | IPsec ポリシー エージェントで重大なエラーが発生した可能性があります |
| 24577 | 該当なし | 低 | ボリュームの暗号化が開始されました |
| 24578 | 該当なし | 低 | ボリュームの暗号化が停止されました |
| 24579 | 該当なし | 低 | ボリュームの暗号化が完了しました |
| 24580 | 該当なし | 低 | ボリュームの暗号化解除が開始されました |
| 24581 | 該当なし | 低 | ボリュームの暗号化解除が停止しました |
| 24582 | 該当なし | 低 | ボリュームの暗号化解除が完了しました |
| 24583 | 該当なし | 低 | ボリュームの変換ワーカー スレッドが開始されました |
| 24584 | 該当なし | 低 | ボリュームの変換ワーカー スレッドが一時的に停止しました |
| 24588 | 該当なし | 低 | ボリューム %2 の変換操作で、セクター エラーが発生しました。 このボリュームのデータを検証してください |
| 24595 | 該当なし | 低 | ボリューム %2 には、不良クラスターが含まれています。 これらのクラスターは変換中はスキップされます。 |
| 24621 | 該当なし | 低 | 初期状態チェック: %2 でのボリューム変換トランザクションのローリング。 |
| 5049 | 該当なし | 低 | IPsec セキュリティ アソシエーションが削除されました。 |
| 5478 | 該当なし | 低 | IPsec サービスが正常に開始しました。 |
注意
多くのセキュリティ イベント ID の一覧とその意味については、「Windows セキュリティ監査イベント」を参照してください。
wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true を実行して、すべてのセキュリティ イベントの ID の詳細な一覧を取得します
Windows セキュリティ イベント ID とその意味の詳細については、Microsoft サポートの記事「基本のセキュリティ監査ポリシーの設定」を参照してください。 また、参照されているオペレーティング システムの詳細なイベント情報をスプレッドシート形式で提供する Windows セキュリティ監査イベントをダウンロードすることもできます。