HOME >> Tips >> Microsoft Windows

イベントログからログオンとログアウトの履歴を取得する(Windows Server 2008以降)

2013/10/23
文書番号:20038


イベントログからログオンとログアウトの履歴を取得するでログオンイベントの監査について記載しましたが、Windows Server 2008 からイベントIDが変わるようです。
Windows Server 2008 での監査の設定も併せて記載します。

【設定手順】

  1. 管理ツールから「ローカルセキュリティーポリシー」を起動します。

    クリックで拡大
  2. [セキュリティの設定]-[ローカルポリシー]-[監査ポリシー]を選択します。

    クリックで拡大
  3. 「アカウント ログオン イベントの監査」を開き、「成功」と「失敗」の両方にチェックをつけます。
    「ログオン イベントの監査」を開き、「成功」と「失敗」の両方にチェックをつけます。

    クリックで拡大

【イベントID】

イベントID 説明
4624 ログオン
イベントログの詳細に記載される「ログオン タイプ」で対話型ログオンかネットワークログオン(リモートログオン)かを判断することができます。
対話型ログオン/ログオフ:2
ネットワークログオン/ログオフ:3
イベントログの詳細にはクライアント名や接続プロトコルなども表示されています。
4634 ログオフ
4778 リモート接続で切断セッションに再接続した際に記録されます
4779 リモート接続でセッションを切断すると記録されます

【参考情報】

その他にもイベントIDが変わった内容について記載されています。
【Windows Server 2008】監査イベントの Event ID が変わります
http://blogs.technet.com/b/junichia/archive/2008/01/11/2008-id.aspx