イベントログの意味とは?

前へ 次へ
このQ&Aのポイント
  • イベントログは、コンピューター上で発生したさまざまなイベントやアクティビティの記録です。
  • このイベントログは、パソコンのログオンに関する情報を示しており、アカウントのログオン状況やログオンタイプなどの詳細な情報を提供しています。
  • イベントログを確認することで、不正なアクセスやセキュリティに関する問題を特定することができます。
回答を見る
  • ベストアンサー

イベントログの意味を教えてください

このイベント前にパソコンをつけっぱなしで寝ました。AudacityでUSBメモリでデータを保存中でした。インターネットにはつないでいません。ログオン履歴があるのが気になるのですが…このイベントは何を意味してますか?(消部分はとりあえず隠したところですが、必要なところがあったら教えてください) よろしくお願いします。 (1)Windowログ セキュリティ:アカウントが正常にログオンしました。 サブジェクト: セキュリティ ID: SYSTEM アカウント名: 消-PC$ アカウント ドメイン: WORKGROUP ログオン ID: 消 ログオン タイプ: 5 新しいログオン: セキュリティ ID: SYSTEM アカウント名: SYSTEM アカウント ドメイン: NT AUTHORITY ログオン ID: 消 ログオン GUID: {00000000-0000-0000-0000-000000000000} プロセス情報: プロセス ID: 消 プロセス名: C:\Windows\System32\services.exe ネットワーク情報: ワークステーション名: ソース ネットワーク アドレス: - ソース ポート: - 詳細な認証情報: ログオン プロセス: Advapi 認証パッケージ: Negotiate 移行されたサービス: - パッケージ名 (NTLM のみ): - キーの長さ: 0 このイベントは、ログオン セッションの作成時に生成されます。このイベントは、アクセス先のコンピューターで生成されます。サブジェクトのフィールドは、ログオンを要求したローカル システム上のアカウントを示します。これはサーバー サービスなどのサービスまたは inlogon.exe や Services.exe などのローカル プロセスであることが最も一般的です。ログオン タイプのフィールドは、発生したログオンの種類を示します。最も一般的なタイプは、2 (対話型) と 3 (ネットワーク) です。新しいログオンのフィールドは、新しいログオンを作成するアカウント、つまりログオン先のアカウントを示します。ネットワークのフィールドは、リモート ログオン要求の送信元を示します。ワークステーション名は常に表示されるとは限らず、場合によっては空白のままであることがあります。認証情報のフィールドは、この特定のログオン要求に関する詳細情報を示します。 - ログオン GUID は、このイベントを KDC イベントに関連付ける場合に使用できる一意の識別子です。 - 移行されたサービスは、このログオン要求に関与した中間サービスを示します。 - パッケージ名は、NTLM プロトコルのうち使用されたサブプロトコルを示します。 - キーの長さは、生成されたセッション キーの長さを示します。これは、セッション キーが要求されなかった場合は 0 になります。 (2)新しいログオンに特権が割り当てられました。 サブジェクト: セキュリティ ID: SYSTEM アカウント名: SYSTEM アカウント ドメイン: NT AUTHORITY ログオン ID: 消 特権: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege ●アプリケーションログ ・WmiApRpl (WmiApRpl) サービスのパフォーマンス カウンターを正しく削除しました。レコード データには、システムの前回のカウンターと前回のヘルプのレジストリ エントリの新しい値が含まれています。 ・WmiApRpl (WmiApRpl) サービスのパフォーマンス カウンターを正しく読み込みました。データ セクションのレコード データには、このサービスに割り当てられた新しいインデックス値が含まれています。

noname#223604
noname#223604

質問者が選んだベストアンサー

  • ベストアンサー
回答No.1

システムアカウントのログインを示しています。 ハッキングなどされているわけではないのでご安心ください。 システムアカウントは、バックグラウンドでサービスを起動させたりするときに動作していたりするので、気にすることでも心配することでもありません。

noname#223604
質問者

お礼

お礼が遅くなりすみません。ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

  • Windowsイベントログについて

    Windowsイベントログで以下のイベントが記録され続けます。 レベル : 情報 ソース : Schannel イベントID : 36880 ~ 36867 TLS関連のログらしいのですが、連続して記録されます。 これが記録されてからかわかりませんが、ネットワークが安定しません。 質問1 どのプロセス/プログラムが記録しているのでしょうか 質問2 停止させる方法はありますでしょうか

  • イベントID 3224 の意味がわかりません

    会社で、データサーバ機として、使っている WindowsNT Server4.0 機なんですが、いつからか、システムのイベントログにきまったエラーが出ています。  ソース:NETLOGON  分類 :なし  ID  :3224  「次のエラーが発生したため、アカウント AAAAA$ のマシン アカウント パスワードの 変更に失敗しました:  現在、ログオン要求を処理できるログオン サーバーは ありません。」 AAAAA はデータサーバのコンピュータ名です。 これについて、詳しい方、詳しいホームページ等ありましたら教えて下さい。

  • ログの意味を教えてください。

    Web系アプリの不具合で困っております。誰か力を貸していただけないでしょうか Windows2003 IIS+ASP.netで作成したWeb系アプリにおいて、ログイン画面にてユーザ名、パスワードを入力させております。その情報をADに問い合わせにいって、ユーザ情報を取得できたら、次画面へ遷移 このアプリサーバーとADサーバーは同一セグメントに存在。 ・事象 週1回程度ログインできない時間が20分ほど発生します。正しいユーザ名、パスワードを入力しても認証に失敗します。20分ほどたつと復旧します。ADは正常に動作しており、このシステム以外では同じアカウントでログインできま 気になるのはイベントログのセキュリティログを確認すると、不具合が発生する2時間くらい前より、以下のメッセージが1秒間に数件継続して吐き出されています。 明示的な資格情報を使ったログオン試行: ログオンしたユーザー: ユーザー名: NETWORK SERVICE ドメイン: NT AUTHORITY ログオン ID: (0x0,0x3E4) ログオン GUID: - 資格情報に使われたユーザー: ターゲット ユーザー名: 0000486826 ターゲット ドメイン: XXXX-BN ターゲット ログオン GUID: - ターゲット サーバー名: XXXX101.test-bn.local ターゲット サーバー情報: XXXX101.test-bn.local 呼び出し側プロセス ID: 1076 ソース ネットワーク アドレス: - ソース ポート: - 呼び出し側プロセス名: %13 質問1:セキュリティログにかかれている内容はどういった意味でしょうか? ユーザ名、ドメイン、ターゲットユーザなどから検討がつきません。 質問2:質問2の内容が不具合に起因していると考えられるでしょうか? 質問3:一時的にADにログインできなくなる事象について考えられる原因を教えてください。 困っております。助けてください。

  • クロスケーブルで接続時のエラー

    ノートPCとデスクトップPCをクロスケーブルでLan接続し、フォルダの共有を したいのですが、ノートPCからデスクトップの共有フォルダを見ようとすると・・・ 「\\Desktopにアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。 アクセス許可があるかどうかこのサーバの管理者に問い合わせて下さい。 ログオン失敗:要求された種類のログオンは、このコンピュータではユーザに許可がされていません。」 と、エラーメッセージが表示されます。 また、デスクトップPCのイベントログには ------------------------------------------------ イベントの種類: 失敗の監査 イベント ソース: Security イベント カテゴリ: ログオン/ログオフ イベント ID: 534 日付: 2005/12/25 時刻: 10:40:10 ユーザー: NT AUTHORITY\SYSTEM コンピュータ: DESKTOP 説明: ログオンの失敗: 原因: ユーザーは、このコンピュータでは要求された 種類のログオンは認められていません。 ユーザー名: XXXXX ドメイン: NOTE ログオンの種類: 3 ログオン プロセス: NtLmSsp 認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 ワークステーション名: NOTE ----------------------------------------------- と、エラーログがでていました。 因みにデスクトップPCからはノートPCの共有フォルダを見ることができます。 どうすれば、ノートPCからデスクトップの共有フォルダを見れるようになるのでしょうか??

  • NT AUTHORITY\NETWORK SERVICE

    コンピュータの管理にあるセキュリティのとこに ログオンの成功: ユーザー名: NETWORK SERVICE ドメイン: NT AUTHORITY ログオン ID: (******) ログオンの種類: 5 ログオン プロセス: ***** 認証パッケージ: ***** ワークステーション名: ログオン GUID: {*****} というのが出ます・・・。 これの他にユーザー名がLOCAL SERVICEというのも出ます ログは今月からのしか、載ってなくて(他の場所にあるなら表示方法をお願いします) 新しいログオンへの特権の割り当て:等もありました。 これは何なんでしょうか?? よくわからなくて、心配になってしまって・・・。 検索なども行いましたがイマイチわからず^^; これが何なのか、心配はないのかを教えてください。 *****で伏せてる部分は必要があれば載せます。(載せていいのかわからなかったので^^; よろしくお願いしますm(_ _)m

  • イベントログを読むための文献は無いですか。

    ネットワーク管理者なのに経験はあっても基礎知識がまったく欠けていることに気づき青くなっている次第です。対応がスムーズにできなくて困っています。 今回はイベントビューアのエラーや警告に適切に対応できる本、もしくはページを探しています。 例えば。 ---- イベントの種類: エラー イベント ソース: Service Control Manager イベント カテゴリ: なし イベント ID: 7031 日付: 2002/01/16 時刻: 9:04:29 ユーザー: N/A コンピュータ: N 説明: Print Spooler サービスは不正に終了しました。これは 1 回発生しています。次の修正動作が 0 ミリ秒以内に行われます: 何もしない ---- 位のエラーなら「原因はわからないけど場所はプリンターだな」くらいはわかります。 でも、 ---- イベントの種類: 警告 イベント ソース: WinMgmt イベント カテゴリ: なし イベント ID: 36 日付: 2002/01/16 時刻: 8:41:40 ユーザー: N/A コンピュータ: N 説明: 次の無効なリターン コードが返されたため、WMI ADAP は Spooler パフォーマンス ライブラリを読み込むことができませんでした: 0x80041001 ---- ともなると何が何やら。 少々難しいのは我慢します(というか噛み砕いて説明しないといけない)ので、辞書みたいに「こんなエラーが出たらこんな原因だよ」ということの書いてあるような本、もしくはWebがあったら教えてください。

  • ターミナルサービスでログオンしているユーザにウィンドウを出す方法

    あるサービスプログラムが起動しているターミナルサービスに複数のユーザをログオンさせて、ユーザごとに、そのサービスプログラムからウィンドウを出す方法はありますか?OSはWindowsです。 サービスプログラムではなく、各ユーザセッションごとに1つのプログラム(プロセス)を起動すればいいのですが、このプログラムはメモリを食うため、セッションごとにプロセスを作るとメモリ搭載量を数十GBもつまなければなりません。 このプログラムは、メモリ上のデータをグラフィカルに表示するだけのプログラムです。Win32 API の、CreateWindowEx に セッションIDがついたようなAPIがあればベストのように思うのですが。 もしくは、ログオンしたユーザ側から別のCOMクライアントを使って、サービスプログラム上のハンドルを取得し、そこからウィンドウを表示させる方法でも良いです。

  • イベントログ(ソース:NETLOGON イベントID:5722)

    いつもお世話になります。 イベントログに下記のエラーが出力されました。 ソース  :NETLOGON 種類   :エラー 分類   :なし イベントID:5722 説明   :コンピュータ JSWC08 からのセッション設定を認証できません       でした。 セキュリティ データベースで参照されたアカウント名は       JSWC08$ です。次のエラーが発生しました:       クセスが拒否されました。 です。 上記説明でのJSWC08はコンピュータ名です。 どのような原因、事象でイベントログが出力されるのか 分かる方、教えて頂けませんか?

  • 夫が私の不在中に私のパソコンを触った形跡があるのですが

    XPのセキュリティログを見てみたら、ダンナが私の不在中に私のパソコンに触った形跡がありました。 たくさんのログがありましたが、主なものは以下のとおりです。 (日付や時刻は適当ですが、ダンナによると思われるログは2分間だけでした) 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 850 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 849 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 848 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 615 NETWORK SERVISE 成功の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 540 ANONYMOUS LOGON 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 806 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 529 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security アカウントログオン 680 SYSTEM 成功の監査 2008/3/15 15:47:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security ログオン/ログオフ 528 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 NETWORK SERVISE 成功の監査 2008/3/15 15:46:00 Security ログオン/ログオフ 528 NETWORK SERVISE 成功の監査 2008/3/15 15:45:30 Security システムイベント 518 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 514 SYSTEM 私はパソコンは素人ですが、ダンナが何をしたのか知りたくて、 gooのQ&Aの過去ログを参考に、以下のページで調べてみました。 http://support.microsoft.com/kb/299475/ja その結果、 アカウントログオンが失敗となっているので、ログオンできなかったことはわかりました。 また、過去ログによると、ユーザー欄がNETWORK SERVICEやLOCAL SERVICEとなっているログや、 「新しいログオンへの特権の割り当て」というログは、特に怪しいものではないらしいですね。 以上のことから、この2点について教えてください。 (1)ANONYMOUS LOGON なるものが成功しています。これは何でしょうか? (2)結局、ダンナは私のパソコンで何をしようとした(何をやった)のでしょうか? なお、私のパソコンはXP home sp2ですが、私のアカウントをAdministratorにして、ログオンパスワードを設定しています。 guestアカウントはOFFにしています。 よろしくお願いします。 ちなみに、どうでもいいですがダンナとは仲は良いです。

  • DHCPに関するイベントログの意味が不明です

    【ネットワークセキュリティ 】というぱっとしないカテゴリですが、ここが一番近いので、これで質問します。 特に支障があるわけではないのですが、イベントログにあがるDHCPのメッセージについて意味がわからず、気持ち悪い思いをしています。20年にわたり汎用機の適用業務の三流SEだったのにもかかわらず恥ずかしい限りです。 次のようなシステム環境です。 (1)Window XP SP2 のPC2台 (2)ネットワーク:FTTHでブロードバンドルータを使い、1台は有線、もう一台は無線で接続しています。 (3)ウィルスバスター2007で、プロファイルは「家庭内ネットワーク2」のデフォルト設定です (3)ブロードバンドルータでの、DHCPのリース期間は48時間です。 (4)毎朝、2台のPCを立ち上げ使用し夜にはシャットダウンしています。 (5)ネットワーク接続時、1台は 192.168.11.2 もう一台は 192.168.11.3 が割り当てられ、ルータ自身は 192.168.11.1です。 どちらから立ち上げても、同じIPアドレスが割り当てられます。 そして、このような環境と運用のなかで、2台とも、次に示すイベントログがあがります。ネットワークカードのアドレスは伏字にしています。 ■エラー ソースDHCP イベントID 1002 ネットワーク アドレスが 00XXXXXXXXXX のネットワーク カードに対する IP アドレス 192.168.11.2 のリースが、DHCP サーバー 192.168.11.1 から拒否されました。DHCP サーバーは DHCPNACK メッセージを送信しました。 ■警告  ソースDHCP イベントID 1003 ネットワーク アドレスが 00XXXXXXXXXX のネットワーク カードに対して、ネットワーク (DHCP サーバー) から割り当てられたアドレスを書き換えることができませんでした。 次のエラーが発生しました: セマフォがタイムアウトしました。 ネットワーク アドレス (DHCP) サーバーから引き続き、アドレスの取得を 試みます。 立ち上げる日によって、どちらかがログに書かれます。 また、警告の「セマフォがタイムアウトしました」は有線接続の方、無線接続は「この操作はユーザーによって取り消されました」と出ます。 ログのほうからmicrosoftのほうにアクセスしても、英語力に乏しい私は手に負えず、技術情報にキーワードでアクセスしても、現象とマッチしたものには出会えません。 ネットワークにお詳しい方、よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する