4611(S): 信頼されたログオン プロセスがローカル セキュリティ機関に登録されています。

サブカテゴリ: 監査セキュリティ システム拡張機能
イベントの説明:
このイベントは、ログオン プロセスがローカル セキュリティ機関 (LSA) に登録されていることを示します。 また、ログオン要求はこのソースから受け入れられます。
技術的なレベルでは、イベントは信頼されたログオン プロセスの登録ではなく、プロセスが信頼されたログオン プロセスであることを確認することです。 信頼されたログオン プロセスの場合、イベントが生成されます。
ログオン プロセスは、オペレーティング システムの信頼できる部分であり、さまざまなログオン方法 (ネットワーク、対話型など) の全体的なログオン機能を処理します。
通常、これらのイベントは、オペレーティング システムの起動時またはユーザーのログオンと認証の操作中に表示されます。
**注: ** 推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。
イベント XML:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4611</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12289</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-10-14T03:43:29.604031000Z" />
<EventRecordID>1048175</EventRecordID>
<Correlation />
<Execution ProcessID="516" ThreadID="548" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">DC01$</Data>
<Data Name="SubjectDomainName">CONTOSO</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="LogonProcessName">Winlogon</Data>
</EventData>
</Event>
必須サーバーロール: ありません。
最小 OS バージョン: Windows Server 2008、Windows Vista。
イベント バージョン: 0。
フィールドの説明:
サブジェクト:
- セキュリティ ID [Type = SID]: 信頼されたログオン プロセスを登録したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。
注: セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。
アカウント名 [Type = UnicodeString]: 信頼されたログオン プロセスを登録したアカウントの名前。
アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。
ドメイン NETBIOS 名の例: CONTOSO
小文字の完全なドメイン名: contoso.local
大文字の完全なドメイン名: CONTOSO.LOCAL
LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。
ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。
ログオン ID [Type = HexInt64]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。
ログオン プロセス名 [Type = UnicodeString]: 登録済みログオン プロセスの名前。
セキュリティ監視の推奨事項
4611(S): 信頼されたログオン プロセスがローカル セキュリティ機関に登録されています。
大事な このイベントについては、「 付録 A: 多くの監査イベントのセキュリティ監視に関する推奨事項」も参照してください。
このイベントは通常、SYSTEM アカウントによってトリガーされるため、 "Subject\Security ID" が SYSTEM ではない場合は必ず報告することをお勧めします。
通常、このイベントには情報上の目的があります。 システムで許可されているログオン プロセスの一覧を定義した場合は、許可リストの [ログオン プロセス名] フィールド値を確認できます。
フィードバック
フィードバックの送信と表示