イベントログからログオンとログアウトの履歴を取得する(Windows Server 2008以降)
2013/10/23
文書番号:20038
イベントログからログオンとログアウトの履歴を取得するでログオンイベントの監査について記載しましたが、Windows Server 2008 からイベントIDが変わるようです。
Windows Server 2008 での監査の設定も併せて記載します。
【設定手順】
- 管理ツールから「ローカルセキュリティーポリシー」を起動します。
クリックで拡大 - [セキュリティの設定]-[ローカルポリシー]-[監査ポリシー]を選択します。
クリックで拡大 - 「アカウント ログオン イベントの監査」を開き、「成功」と「失敗」の両方にチェックをつけます。
「ログオン イベントの監査」を開き、「成功」と「失敗」の両方にチェックをつけます。
クリックで拡大
【イベントID】
イベントID | 説明 |
---|---|
4624 | ログオン イベントログの詳細に記載される「ログオン タイプ」で対話型ログオンかネットワークログオン(リモートログオン)かを判断することができます。 対話型ログオン/ログオフ:2 ネットワークログオン/ログオフ:3 イベントログの詳細にはクライアント名や接続プロトコルなども表示されています。 |
4634 | ログオフ |
4778 | リモート接続で切断セッションに再接続した際に記録されます |
4779 | リモート接続でセッションを切断すると記録されます |
【参考情報】
その他にもイベントIDが変わった内容について記載されています。
【Windows Server 2008】監査イベントの Event ID が変わります
http://blogs.technet.com/b/junichia/archive/2008/01/11/2008-id.aspx
【Windows Server 2008】監査イベントの Event ID が変わります
http://blogs.technet.com/b/junichia/archive/2008/01/11/2008-id.aspx