サービス アカウント ログオン イベントに関連するセキュリティ イベント

文書翻訳 文書翻訳
文書番号: 274176 - 対象製品
この記事は、以前は次の ID で公開されていました: JP274176
すべて展開する | すべて折りたたむ

目次

概要

Windows 2000 とそれ以前のバージョンの Windows では、アカウント ログオン イベント (セキュリティ イベント ID 528) を、サービスなどの多くのプロセスのプロセス作成イベントに関連付けることはできませんでした。ただし、管理者は (Windows XP に含まれる) セキュリティ イベント ID 600 を使って、この関連付けを定義できます。この資料は、これらのイベントを理解できるようにセキュリティ イベント ログを解釈する方法を説明します。

詳細

アカウント ログオン イベント、ログオン イベント、プロセス追跡を監査している場合、ユーザー アカウントを使ってサービスが開始されるときに、次の 5 個のイベントがログに記録されます。
  • Kerberos Ticket Request
    (672 アカウント ログオン)
  • Kerberos Ticket Granted
    (673 アカウント ログオン)
  • アカウント ログオン
    (528 ログオン/ログオフ)
  • Service Process starts
    (592 詳細追跡)
  • Account that started service logged
    (600 詳細追跡)
次のサンプル イベントは、License Logging サービスがドメイン アカウントを使って開始されるときに発生します。

Kerberos Ticket Request


種類 :	成功の監査
ソース :	Security
分類 :	アカウント ログオン
イベント ID : 672
日付 :		08/14/2000
時刻 :		05:13:02
ユーザー :		NT AUTHORITY\SYSTEM
コンピュータ :         <コンピュータ名>
説明 :
認証チケットの許可 :
 	ユーザー名 :		<ユーザー名>
 	提供された領域名 :	<領域名>
 	ユーザー ID:                  <領域名>\<ユーザー名>
 	サービス名 :		<サービス名>
 	サービス ID:		<領域名>\<サービス名>
 	チケット オプション :		0x40810010
 	結果コード :		-
 	チケット暗号化の種類 :	0x17
 	事前認証の種類 :	2
 	クライアント アドレス :		127.0.0.1

Kerberos Ticket Granted

種類 :	成功の監査
ソース :	Security
分類 :	アカウント ログオン
イベント ID : 673
日付 :		08/14/2000
時刻 :		05:13:02
ユーザー :		NT AUTHORITY\SYSTEM
コンピュータ :         <computer name>
説明 :
サービス チケットの許可 :
 	ユーザー名 :		<ユーザー名>
 	ユーザー ドメイン :		<ユーザー ドメイン名>
 	サービス名 :		<コンピュータ名>$
 	サービス ID:		<ユーザー ドメイン名>\<コンピュータ名>$
 	チケット オプション :		0x40810010
 	チケット暗号化の種類 :	0x17
 	クライアント アドレス :		127.0.0.1

アカウント ログオン

種類 :	成功の監査
ソース :	Security
分類 :	ログオン/ログオフ
イベント ID : 528
日付 :		08/14/2000
時刻 :		05:13:02
ユーザー :		<ユーザー ドメイン名>\<ユーザー名>
コンピュータ :         <コンピュータ名>
説明 :
ログオンの成功 :
 	ユーザー名 :	<ユーザー名>
 	ドメイン :		<ドメイン名>
 	ログオン ID:		(0x0,0x1CBC6A)
	ログオン タイプ : 5
	ログオン プロセス : Advapi
 	認証パッケージ :	Negotiate
 	ワークステーション名 :	<コンピュータ名>

Service Process Starts

種類 :	成功の監査
ソース :	Security
分類 :	詳細追跡
イベント ID : 592
日付 :		08/14/2000
時刻 :		05:13:02
ユーザー :		NT AUTHORITY\SYSTEM
コンピュータ :         <コンピュータ名>
説明 :
新しいプロセスの作成:
 	新しいプロセス ID:	2064
 	イメージ ファイル名 :	C:\WINDOWS\system32\llssrv.exe
 	クリエータ プロセス ID:	264
 	ユーザー名 :	<コンピュータ名>$
 	ドメイン :		<ドメイン名>
 	ログオン ID:		(0x0,0x3E7)

Account That Started Service Logged

種類 :	成功の監査
ソース :	Security
分類 :	詳細追跡
イベント ID : 600
日付 :		08/14/2000
時刻 :		05:13:02
ユーザー :		NT AUTHORITY\SYSTEM
コンピュータ :         <コンピュータ名>
説明 :
プロセスがプライマリ トークンに割り当てられました。
 	プロセス ID:	2064
 	イメージ ファイル名 :	C:\WINDOWS\system32\llssrv.exe
 	ユーザー名 :	<ユーザー名>
 	ドメイン :		<ドメイン名>
 	ログオン ID:		(0x0,0x1CBC6A)

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 274176 (最終更新日 2001-07-05) をもとに作成したものです。

プロパティ

文書番号: 274176 - 最終更新日: 2001年9月17日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows XP Professional Edition
キーワード:?
kbinfo kbtool KB274176
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com