HOME >> Tips >> Microsoft Windows

イベントログからログオンとログアウトの履歴を取得する(Windows Server 2003以前)

2013/10/3
文書番号:20037


Windows サーバーへのログオン/ログオフをイベントログに記録することで、イベントを解析するとログオンの履歴を確認したりや不正アクセスなどの監視を行うことができます。
Windows Server 2003 ではアカウントログオンの失敗など一部の機能が有効化されていないのでまず設定をする必要があります。

【設定手順】

  1. 管理ツールから「ローカルセキュリティーポリシー」を起動します。

    クリックで拡大
  2. [セキュリティの設定]-[ローカルポリシー]-[監査ポリシー]を選択します。

    クリックで拡大
  3. 「アカウント ログオン イベントの監査」を開き、「成功」と「失敗」の両方にチェックをつけます。

    クリックで拡大
  4. 次に「ログオン イベントの監査」を開き、「成功」と「失敗」の両方にチェックをつけます。

    クリックで拡大
  5. 「アカウント ログオン イベントの監査」と「ログオン イベントの監査」の「セキュリティの設定」項目が「成功,失敗」になっていることを確認して画面を閉じます。

    クリックで拡大

【イベントログを確認する】

管理ツールから[イベントビューア]を起動します。

クリックで拡大

クリックで拡大

【イベントID】

イベントID 説明
528 ログオン
イベントログの詳細に記載される「ログオン タイプ」で対話型ログオンかネットワークログオン(リモートログオン)かを判断することができます。
対話型ログオン/ログオフ:2
ネットワークログオン/ログオフ:3
イベントログの詳細にはクライアント名や接続プロトコルなども表示されています。
538 ログオフ
682 リモート接続で切断セッションに再接続した際に記録されます
683 リモート接続でセッションを切断すると記録されます

【参考情報】

Windows Server 2000の資料ですが、イベントIDなどの設定はWindows Server 2003 までは同じです。
マイクロソフトの Securing Windows 2000 Server ソリューション: 第 9 章 ‐ 監査と侵入検出
http://technet.microsoft.com/ja-jp/library/cc751219.aspx

[NT]Windows NT の監査イベント レコードの識別
http://support.microsoft.com/kb/140714/ja