• 締切済み
  • 困ってます

イベントビューアのセキュリティーの内容について

イベントビューアというものからパソコンを使った日時などが分かるというのを知り、先日確認してみたのですが、セキュリティの成功の監査というのが毎日大量にでています。(ネットへ殆ど毎日接続しています) これは、どういった内容のものなのでしょうか? プロパティを見て、詳細情報を確認してもよく分かりませんでした(;_;) 気になるのが、<分類>ログオン/ログオフ・特権の使用というのが、接続時間中に多量にあります。 ユーザーはNETWORK SERVICE、LOCAL SERVICEというので多量に見られるのですがこれはどういう意味なのでしょうか? 夫婦でパソコンを使用していますが、個別にアカウントを作成・ログインの方式はとっていません。 電源を入れると、起動後そのまま使用できる状態です。

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数712
  • ありがとう数0

みんなの回答

  • 回答No.1

私自身はイベントビューアを使ったことが無いので(存在すら知らなかった)試しにコンパネから起動してみました。確かに意味不明なのでヘルプを開くと、例えば次のような説明がありました。 成功の監査:監査していたセキュリティ アクセス操作が成功したことを知らせるイベント。たとえば、ユーザーがシステムへのログオンに成功すると、成功の監査イベントとしてログに記録されます。 まあ、わかったようなわからないような… そこで、イベントビューアでwebサーチをかけたら例えば次のようなサイトがヒットしました。 ~インストールから設定・活用まで~ すべてが分かるWindows XP大百科 (48)イベントビューア http://journal.mycom.co.jp/special/2001/windowsxp-sp/03/005.html このように探せば適当なユーザーズガイドのようなものが見つかるのではないでしょうか。

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • 夫が私の不在中に私のパソコンを触った形跡があるのですが

    XPのセキュリティログを見てみたら、ダンナが私の不在中に私のパソコンに触った形跡がありました。 たくさんのログがありましたが、主なものは以下のとおりです。 (日付や時刻は適当ですが、ダンナによると思われるログは2分間だけでした) 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 850 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 849 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 848 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 615 NETWORK SERVISE 成功の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 540 ANONYMOUS LOGON 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 806 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 529 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security アカウントログオン 680 SYSTEM 成功の監査 2008/3/15 15:47:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security ログオン/ログオフ 528 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 NETWORK SERVISE 成功の監査 2008/3/15 15:46:00 Security ログオン/ログオフ 528 NETWORK SERVISE 成功の監査 2008/3/15 15:45:30 Security システムイベント 518 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 514 SYSTEM 私はパソコンは素人ですが、ダンナが何をしたのか知りたくて、 gooのQ&Aの過去ログを参考に、以下のページで調べてみました。 http://support.microsoft.com/kb/299475/ja その結果、 アカウントログオンが失敗となっているので、ログオンできなかったことはわかりました。 また、過去ログによると、ユーザー欄がNETWORK SERVICEやLOCAL SERVICEとなっているログや、 「新しいログオンへの特権の割り当て」というログは、特に怪しいものではないらしいですね。 以上のことから、この2点について教えてください。 (1)ANONYMOUS LOGON なるものが成功しています。これは何でしょうか? (2)結局、ダンナは私のパソコンで何をしようとした(何をやった)のでしょうか? なお、私のパソコンはXP home sp2ですが、私のアカウントをAdministratorにして、ログオンパスワードを設定しています。 guestアカウントはOFFにしています。 よろしくお願いします。 ちなみに、どうでもいいですがダンナとは仲は良いです。

  • イベントビューアでの警告の内容

    イベントビューア(ローカル)のアプリケーションの種類は殆どが 「情報」ですがPCの電源を切る時に「警告」というのが必ず有ります。 プロパテイで見ると下記の説明が表示されています。   ↓ 『ログオフ時にアプリケーションまたはサービスがレジストリを まだ使用している間に、Windows はユーザー COMPUTERNAME\ ユーザ名 の レジストリを保存しました。ユーザーのレジストリによって使用されたメモリは 解放されていません。レジストリは使用されなくなったときにアンロードされます。』 『ユーザー アカウントとしてサービスを実行していることが原因と考えられます。 LocalService または NetworkService アカウントでサービスを構成してみてください』 『詳細な情報は、http://go.microsoft.com/fwlink/events.asp の  [ヘルプとサポート センター] を参照してください。』  ↑ クリックしても下記が表示されます。  ↓ 詳細 ID: 1517 ソース: Userenv 『申し訳ございません。 現時点では、Error and Event Log Messages と Knowledge Base データベースにこの問題に関する情報は記載されていません。 Support 領域のリンクを使用すると、 他の場所に追加情報があるかどうかを確認できます。』 2005/4/29からの記録が残っていますが、その時から同じ状態です。 (PCの電源を切った時に「警告」が記録されています。 これは普通ですか? 異常ですか?

  • パソコンを自分以外の人が使ってるという事?まさか。

     共同生活をしていますが、ちょっと気になる事があったので、 ≪Windows XPであれば、コントロールパネル>管理ツール>イベントビューアの セキュセキュリティを開いて、分類が「ログオン/ログオフ」となっているものを探せば、起動時間がわかります。いくつかありますが、ログオンしなくてもこのログは記録されています。例えば電源をつけてログオン画面で放置した場合、いつ付けて、いつログオンしたのかが確実にわかります。≫   という情報を得て、自分のノートパソコンを調べてみると、今日は1日留守にしていたはずなのに、昼間にログオン、ログ記録が残されていました。同居人が勝手に人のものをいじる人ではないし、僕も、この記録の意味もろくに知らずに、疑ってしまっても申し訳ないので、とりあえず教えてください。パソコンの電源も切れていたし、コードも外してあったので、やはり、だれかが いじったということですか?そこに書いてあるのは、ポリシーの変更、システム イベント、特権の使用、ログオン/ログオフ、アカウントログオンです。種類は、成功の監査と失敗の監査と交互にあります。(これは、どういう意味なのですか?)ただ、ほっとしたのが、その時間の長さは、1分程度です。簡単なパスワードをログインに使っているので、開けられなかったのでしょうか?それとも、パソコンの電源をつけていなくても、そういう情報が記されている事もあるのでしょうか?お願いします、教えてください。  どっちみち、同居人が触ったとしても、ログインしていないのなら、何もこのことに触れないようにしようと思います。ただ、念のため、知っておきたいです。

  • xp セキュリティログ

    2ヶ月ほど前からWindows XPのセキュリティログに以下のような「特権の使用」という分類でイベント内容が「新しいログオンへの特権の割り当て」と記載されているものが上がるようになりました。 ---(イベントビュアの記載例)--- 2007/08/15 15:45 分類:特権の使用 種類:成功の監査 イベントID:576 ユーザ:S-1-5-21-318196807-4035036724-3130848823-1405 コンピュータ:xxxxx 新しいログオンへの特権の割り当て: ユーザー名: ドメイン: ログオン ID: (0x0,0x53C851) 特権: SeChangeNotifyPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege ---(イベントビュアの記載例)--- 上記に関連して教えてください (1)イベントID:576の「新しいログオンへの特権の割り当て」とは、どういったものなのでしょうか? (2)イベント内に記載されているログオンID「0x0,0x53C851(例として記載しておりますが、実際のID内容は異なります)」からログオンIDを特定することは可能なのでしょうか? 例えばMACアドレスを記載しているとかIPアドレスを記載しているなど・・・

  • ログインの記録を見たい。

    XPを使用しています。 コントロールパネル→管理ツール→イベントビューア→セキュリティ の分類がログオン/ログオフとなっているところに ログオンの記録が残っていると、調べました。 しかし確認してみるとシステムイベントしか記録されていません。 何か設定が悪いのでしょうか? もしよろしければ、教えていただけませんか? ぜひよろしくお願い致します。

  • 私のイベントビューアは正常? もし異常ならどうやったら直せますか?

    WindowsXP Pro SP2を使用しています。 管理ツールにイベントビューアというものがありますが、その中の「セキュリティ」と「Internet Explorer」のログは以下のような状態で正常なんでしょうか? セキュリティのイベントのログは、パソコンを去年の春に買ってから初めて起動した日時あたりで「成功の監査」というものが1つあるだけです。 Internet Explorerのイベントのログは、全く何もありません。今までに、IEを使っていて異常終了してしまったりしたことは何度もあるはずなのに、記録が何もないので不安です。 どちらも消した覚えはないし、ログがいっぱいになったとかでもないと思います。 1年以上使っているのに、ログが1つだけしかなかったり、全くなかったりするのは普通なんでしょうか? もし異常だとすると、どうやったら直せるのでしょうか? よろしくお願いします。

  • イベントビューアのセキュリティでの、匿名ログオンとポリシーの変更について。

    パソコン(Windows XP Home Edition)起動後、イベントビューアのセキュリティを見ると、気になる点があります。 匿名ログオンと、やたらとポリシーの変更があるんです。 1.匿名ログオンについて。 ANONYMOUS LOGONの成功の監査のプロパティには、 日付:xxxx/xx/xx ソース:Security 時刻:xx:xx:xx 分類:ログオン/ログオフ 種類:成功の監査 イベント ID:540 ユーザー:NT AUTHORITY\ANONYMOUS LOGON コンピュータ: xxx とあります。その下の説明(D):にも何かが書いてあります。 匿名ログオンは第三者にログオンされている可能性はあるのでしょうか。 パソコンを買ったばかりの時は匿名ログオンは無いと他の記事で読んだのですが… ユーザー名とパスワードは自動的に入れる設定にしてありません。 この匿名ログオンを禁止する方法はありますか? 2.やたらとポリシーの変更が多くあります。 数えてみたところ、パソコン起動後、毎回32個のポリシーの変更があります。 その中でも特に気になるのが、イベントID:850の項目5個です。 日付:xxxx/xx/xx ソース:Security 時刻:xx:xx:xx 分類:ポリシーの変更 種類:成功の監査 イベント ID:850 ユーザー:NT AUTHORITY\SYSTEM コンピュータ: xxx 説明: Windows ファイアウォールの開始時に、次のポートが例外として一覧表示されていました。 ※上記の成功の監査のプロパティに、下記の説明(D):がそれぞれあります。 ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: NetBIOS ネーム サービス ポート番号: 137 プロトコル: UDP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: NetBIOS データグラム サービス ポート番号: 138 プロトコル: UDP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: NetBIOS セッション サービス ポート番号: 139 プロトコル: TCP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: SMB over TCP ポート番号: 445 プロトコル: TCP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: リモート デスクトップ ポート番号: 3389 プロトコル: TCP 状態: 無効 スコープ: すべてのサブネット これはポートが開いてるということなのでしょうか? ポート137~139とポート445は閉じた方が良いと他の記事で読んだ事があるのですが… 開いているのなら、閉じる方法を詳しく教えてもらえませんでしょうか。 詳しい方いましたら、質問を締め切るまで宜しくお願い致します。

  • NT AUTHORITY\NETWORK SERVICE

    コンピュータの管理にあるセキュリティのとこに ログオンの成功: ユーザー名: NETWORK SERVICE ドメイン: NT AUTHORITY ログオン ID: (******) ログオンの種類: 5 ログオン プロセス: ***** 認証パッケージ: ***** ワークステーション名: ログオン GUID: {*****} というのが出ます・・・。 これの他にユーザー名がLOCAL SERVICEというのも出ます ログは今月からのしか、載ってなくて(他の場所にあるなら表示方法をお願いします) 新しいログオンへの特権の割り当て:等もありました。 これは何なんでしょうか?? よくわからなくて、心配になってしまって・・・。 検索なども行いましたがイマイチわからず^^; これが何なのか、心配はないのかを教えてください。 *****で伏せてる部分は必要があれば載せます。(載せていいのかわからなかったので^^; よろしくお願いしますm(_ _)m

  • LocalService でサービス構成せよ、が分りません

    xpのイベントビューアのアプリケーションに警告がありますが「LocalService または NetworkService アカウントでサービスを構成してみてください」が力不足で分りません。お助け下されれば幸いです。 <イベントのプロパティ> 説明文 ログオフ時にアプリケーションまたはサービスがレジストリをまだ使用している間に、Windows はユーザー ojin\Administrator のレジストリを保存しました。ユーザーのレジストリによって使用されたメモリは解放されていません。レジストリは使用されなくなったときにアンロードされます。 ユーザー アカウントとしてサービスを実行していることが原因と考えられます。 LocalService または NetworkService アカウントでサービスを構成してみてください。 詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。(これも私には理解できませんでした)

  • イベントビューアに警告が記述されています

    イベントの種類: 警告 イベント ソース: Userenv イベント カテゴリ: なし イベント ID: 1517 日付: 2006/07/04 時刻: 7:32:32 ユーザー: NT AUTHORITY\SYSTEM コンピュータ: [フルコンピュータ名] 説明: ログオフ時にアプリケーションまたはサービスがレジストリをまだ使用している間に、Windows は[ユーザー フルコンピュータ名]\[ユーザ名] のレジストリを保存しました。ユーザーのレジストリによって使用されたメモリは解放されていません。レジストリは使用されなくなったときにアンロードされます。 ユーザー アカウントとしてサービスを実行していることが原因と考えられます。 LocalService または NetworkService アカウントでサービスを構成してみてください。 詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。