• 締切済み

xp セキュリティログ

2ヶ月ほど前からWindows XPのセキュリティログに以下のような「特権の使用」という分類でイベント内容が「新しいログオンへの特権の割り当て」と記載されているものが上がるようになりました。 ---(イベントビュアの記載例)--- 2007/08/15 15:45 分類:特権の使用 種類:成功の監査 イベントID:576 ユーザ:S-1-5-21-318196807-4035036724-3130848823-1405 コンピュータ:xxxxx 新しいログオンへの特権の割り当て: ユーザー名: ドメイン: ログオン ID: (0x0,0x53C851) 特権: SeChangeNotifyPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege ---(イベントビュアの記載例)--- 上記に関連して教えてください (1)イベントID:576の「新しいログオンへの特権の割り当て」とは、どういったものなのでしょうか? (2)イベント内に記載されているログオンID「0x0,0x53C851(例として記載しておりますが、実際のID内容は異なります)」からログオンIDを特定することは可能なのでしょうか? 例えばMACアドレスを記載しているとかIPアドレスを記載しているなど・・・

みんなの回答

  • zzzz0000
  • ベストアンサー率68% (127/186)
回答No.1

>(1)イベントID:576の「新しいログオンへの特権の割り当て」とは、どういったものなのでしょうか? http://support.microsoft.com/kb/299475/JA/ イベントログは http://www.microsoft.com/technet/support/ee/ee_advanced.aspx で検索できます。 http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows%20Operating%20System&ProdVer=5.0&EvtID=576&EvtSrc=Security&LCID=1033 ログオン IDについてはわかりません。

sasaki1187
質問者

お礼

イベントログに対する回答ありがとうございました。 パソコンうちに新しいユーザーが作られているんですね

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

  • セキュリティログ(ログインの失敗監査)の出力先について

    サーバ管理の初心者です。 セキュリティログにてサーバへの不正ログイン 履歴を収集しようと考え、ドメインのグループ ポリシー(監視ポリシー)でログオンイベントの 監視(失敗の監視のみ)を設定しました。 構成は以下のとおりです。 サーバ:Win2000 Server クライアント:Win2000、XP(Pro)、Win95 その後、Win2000とWin95で、故意にイベントID 529(パスワードを入れずにログイン)を発生させ た際、Win95の失敗イベントはServerの方に記録 されましたが、Win2000ではServerではなく、 自分(ローカル)のPCに記録されてしまいます。 サーバにて一括でセキュリティログを管理したい と考えてますが、このままでは各PCのログを回収 して回らなければいけません。 すべてServerの方にログを記録できるようになる 方法(設定)等ありましたら教えていただけますで しょうか。 よろしくお願いします。

  • ルーターのセキュリティログにて

    ADSLモデムSV3を使用しています。 そのセキュリティログに以下の内容が出ていました。 受信時間 送信元IPアドレス/ポート 宛先IPアドレス/ポート プロトコル アクション 2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ] 2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ] 2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ] 実際は、一秒間に10件から20件くらいです。 宛先IPアドレスの61.x.y.zはルーターに割り当てられたグローバルIPです。 通常、送信元IPには相手先として、グローバルIPになると思うのですが、 何故か、ご覧のようにプライベートIPです。 パケットフィルタ設定には「プライベートアドレスを使用した外部装置との通信を禁止」項目があるので、これで廃棄されていると思います。 この送信元IPには心あたりがありません。 DHCPで振り出す範囲からも外れていますし、固定IPでも使用していません。 1.これは何が起きているのでしょうか? 2.秒間20件というアクセスは通常レベルでしょうか? 3.止めることはできますか? どうぞ、宜しくお願いします。

  • ファイルサーバー上のファイル操作における監査

    マイクロソフトから提供された文書”ファイルサーバー上のファイル操作における監査”にしたがって監査ポリシーと監査エントリの設定をしてみたのですがID540のイベントログを見てもネットワークアドレスが記録されていません。何かこの文書に書かれていない設定があるのでしょうか。 (例) ネットワーク ログオンの成功: ユーザー名: dswing ドメイン: KOJIMA-C ログオン ID: (0x0,0x2C8F484) ログオンの種類: 3 ログオン プロセス: Kerberos 認証パッケージ: Kerberos ワークステーション名:

  • NT AUTHORITY\NETWORK SERVICE

    コンピュータの管理にあるセキュリティのとこに ログオンの成功: ユーザー名: NETWORK SERVICE ドメイン: NT AUTHORITY ログオン ID: (******) ログオンの種類: 5 ログオン プロセス: ***** 認証パッケージ: ***** ワークステーション名: ログオン GUID: {*****} というのが出ます・・・。 これの他にユーザー名がLOCAL SERVICEというのも出ます ログは今月からのしか、載ってなくて(他の場所にあるなら表示方法をお願いします) 新しいログオンへの特権の割り当て:等もありました。 これは何なんでしょうか?? よくわからなくて、心配になってしまって・・・。 検索なども行いましたがイマイチわからず^^; これが何なのか、心配はないのかを教えてください。 *****で伏せてる部分は必要があれば載せます。(載せていいのかわからなかったので^^; よろしくお願いしますm(_ _)m

  • エラーID:7022

    エラー イベント  ソース(S):Service Control Manager  分類:なし  イベントID(I):7022  ユーザ(U):N/A 説明・・Trend Micro protection Against Spywareサービスは起動時     停止しました。 操作・・マイコンピュター右クリック→イベントビュア→システムの     ダブリクリック→種類のエラーID:7022

  • ログの意味を教えてください。

    Web系アプリの不具合で困っております。誰か力を貸していただけないでしょうか Windows2003 IIS+ASP.netで作成したWeb系アプリにおいて、ログイン画面にてユーザ名、パスワードを入力させております。その情報をADに問い合わせにいって、ユーザ情報を取得できたら、次画面へ遷移 このアプリサーバーとADサーバーは同一セグメントに存在。 ・事象 週1回程度ログインできない時間が20分ほど発生します。正しいユーザ名、パスワードを入力しても認証に失敗します。20分ほどたつと復旧します。ADは正常に動作しており、このシステム以外では同じアカウントでログインできま 気になるのはイベントログのセキュリティログを確認すると、不具合が発生する2時間くらい前より、以下のメッセージが1秒間に数件継続して吐き出されています。 明示的な資格情報を使ったログオン試行: ログオンしたユーザー: ユーザー名: NETWORK SERVICE ドメイン: NT AUTHORITY ログオン ID: (0x0,0x3E4) ログオン GUID: - 資格情報に使われたユーザー: ターゲット ユーザー名: 0000486826 ターゲット ドメイン: XXXX-BN ターゲット ログオン GUID: - ターゲット サーバー名: XXXX101.test-bn.local ターゲット サーバー情報: XXXX101.test-bn.local 呼び出し側プロセス ID: 1076 ソース ネットワーク アドレス: - ソース ポート: - 呼び出し側プロセス名: %13 質問1:セキュリティログにかかれている内容はどういった意味でしょうか? ユーザ名、ドメイン、ターゲットユーザなどから検討がつきません。 質問2:質問2の内容が不具合に起因していると考えられるでしょうか? 質問3:一時的にADにログインできなくなる事象について考えられる原因を教えてください。 困っております。助けてください。

  • windows2000 ログオフの追跡

    windows2000のログオンの追跡はできてますが、ログオフが追跡できません。 下記の記事に「不思議なバグ」があるとありますが、誰かこのバグの解決方法ご存知内でしょうか? ------------------------ 成功したログオン イベント (イベント ID が 528 または 540) と対応するログオフ イベント (Windows 2000 では NT と同様に成功したログオフをイベント ID 538 で記録します) とを結びつけるには、両方のイベントに記録されている [ログオン ID] の番号を使用します。たとえば、Administrator が午後 1 時 27 分にログオンしているイベントを見つけ、この Administrator がログオフした時刻を知りたいとします。イベント ID 528 のログオン ID (例、図 4 の 0x0, 0xEC87) をメモに取り、[イベント ビューア] でセキュリティ ログを右クリックし、[検索] をクリックしてその番号のイベント ログを検索します。ただし、うまくいかないことがあります。Windows 2000 には、NT にもある不思議なバグがあります。OS がイベント ID 538 を記録しないことがたまにあります。(これまで私が知っているところでは、Windows 2000 では対話型ログオンの場合にのみこの問題が発生しています。) つまり、対応する イベント ID 538 が存在しないイベント ID 528 がある場合があります。 ソース:http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/maintain/monitor/logonoff.mspx#EFAA

  • VistaからXPのネットワークドライブの割り当て方法

    WindowsXPのドライブにVistaからネットワークドライブの割り当てを しようとしているのですが、うまく割り当てができません。 【割り当て方法】 Vista上でネットワークドライブの割り当てウィザードで 例えば、「\\192.168.0.4\d$」と入力し接続する。 接続の際にユーザーIDとパスワードを聞かれるので、 XP側のAdmin権限のあるユーザーIDとパスワードを入力する。 【結果】 再度ログイン画面が出て、「ログオンできません。 ユーザー名とパスワードを確認してください」という メッセージが出る。 XP同士では上記の方法で問題なくできたのですが、、、、。 XPのDドライブを共有化すればいいんでしょうけれど、 そうするとネットワーク全体でドライブが見られてしまうので それはなんとか避けたいです。 Vistaでは割り当て方法が違うのでしょうか? あるいはVistaのセキュリティ機能の影響でしょうか? よろしくお願いします。

  • 夫が私の不在中に私のパソコンを触った形跡があるのですが

    XPのセキュリティログを見てみたら、ダンナが私の不在中に私のパソコンに触った形跡がありました。 たくさんのログがありましたが、主なものは以下のとおりです。 (日付や時刻は適当ですが、ダンナによると思われるログは2分間だけでした) 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 850 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 849 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 848 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 615 NETWORK SERVISE 成功の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 540 ANONYMOUS LOGON 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 806 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 529 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security アカウントログオン 680 SYSTEM 成功の監査 2008/3/15 15:47:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security ログオン/ログオフ 528 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 NETWORK SERVISE 成功の監査 2008/3/15 15:46:00 Security ログオン/ログオフ 528 NETWORK SERVISE 成功の監査 2008/3/15 15:45:30 Security システムイベント 518 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 514 SYSTEM 私はパソコンは素人ですが、ダンナが何をしたのか知りたくて、 gooのQ&Aの過去ログを参考に、以下のページで調べてみました。 http://support.microsoft.com/kb/299475/ja その結果、 アカウントログオンが失敗となっているので、ログオンできなかったことはわかりました。 また、過去ログによると、ユーザー欄がNETWORK SERVICEやLOCAL SERVICEとなっているログや、 「新しいログオンへの特権の割り当て」というログは、特に怪しいものではないらしいですね。 以上のことから、この2点について教えてください。 (1)ANONYMOUS LOGON なるものが成功しています。これは何でしょうか? (2)結局、ダンナは私のパソコンで何をしようとした(何をやった)のでしょうか? なお、私のパソコンはXP home sp2ですが、私のアカウントをAdministratorにして、ログオンパスワードを設定しています。 guestアカウントはOFFにしています。 よろしくお願いします。 ちなみに、どうでもいいですがダンナとは仲は良いです。

  • 個人情報保護に関する質問です。

    会社で個人情報を取り扱うに当たり 管理台帳などを作成しております。 ユーザーID・特権ID発行・削除管理台帳 なるものを作りたいのですが どのような内容を記載すればよいのでしょうか。 使い勝手の良いフォーマット等、ご存知でしたら お教えください。 よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する