現在オフラインです。再接続するためにインターネットの接続を待っています

サービス アカウント ログオン イベントに関連するセキュリティ イベント

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

この記事は、以前は次の ID で公開されていました: JP274176
概要
Windows 2000 とそれ以前のバージョンの Windows では、アカウント ログオン イベント (セキュリティ イベント ID 528) を、サービスなどの多くのプロセスのプロセス作成イベントに関連付けることはできませんでした。ただし、管理者は (Windows XP に含まれる) セキュリティ イベント ID 600 を使って、この関連付けを定義できます。この資料は、これらのイベントを理解できるようにセキュリティ イベント ログを解釈する方法を説明します。
詳細
アカウント ログオン イベント、ログオン イベント、プロセス追跡を監査している場合、ユーザー アカウントを使ってサービスが開始されるときに、次の 5 個のイベントがログに記録されます。
  • Kerberos Ticket Request
    (672 アカウント ログオン)
  • Kerberos Ticket Granted
    (673 アカウント ログオン)
  • アカウント ログオン
    (528 ログオン/ログオフ)
  • Service Process starts
    (592 詳細追跡)
  • Account that started service logged
    (600 詳細追跡)
次のサンプル イベントは、License Logging サービスがドメイン アカウントを使って開始されるときに発生します。

Kerberos Ticket Request

種類 :	成功の監査ソース :	Security分類 :	アカウント ログオンイベント ID : 672日付 :		08/14/2000時刻 :		05:13:02ユーザー :		NT AUTHORITY\SYSTEMコンピュータ :         <コンピュータ名>説明 :認証チケットの許可 : 	ユーザー名 :		<ユーザー名> 	提供された領域名 :	<領域名> 	ユーザー ID:                  <領域名>\<ユーザー名> 	サービス名 :		<サービス名> 	サービス ID:		<領域名>\<サービス名> 	チケット オプション :		0x40810010 	結果コード :		- 	チケット暗号化の種類 :	0x17 	事前認証の種類 :	2 	クライアント アドレス :		127.0.0.1

Kerberos Ticket Granted

種類 :	成功の監査ソース :	Security分類 :	アカウント ログオンイベント ID : 673日付 :		08/14/2000時刻 :		05:13:02ユーザー :		NT AUTHORITY\SYSTEMコンピュータ :         <computer name>説明 :サービス チケットの許可 : 	ユーザー名 :		<ユーザー名> 	ユーザー ドメイン :		<ユーザー ドメイン名> 	サービス名 :		<コンピュータ名>$ 	サービス ID:		<ユーザー ドメイン名>\<コンピュータ名>$ 	チケット オプション :		0x40810010 	チケット暗号化の種類 :	0x17 	クライアント アドレス :		127.0.0.1

アカウント ログオン

種類 :	成功の監査ソース :	Security分類 :	ログオン/ログオフイベント ID : 528日付 :		08/14/2000時刻 :		05:13:02ユーザー :		<ユーザー ドメイン名>\<ユーザー名>コンピュータ :         <コンピュータ名>説明 :ログオンの成功 : 	ユーザー名 :	<ユーザー名> 	ドメイン :		<ドメイン名> 	ログオン ID:		(0x0,0x1CBC6A)	ログオン タイプ : 5	ログオン プロセス : Advapi 	認証パッケージ :	Negotiate 	ワークステーション名 :	<コンピュータ名>

Service Process Starts

種類 :	成功の監査ソース :	Security分類 :	詳細追跡イベント ID : 592日付 :		08/14/2000時刻 :		05:13:02ユーザー :		NT AUTHORITY\SYSTEMコンピュータ :         <コンピュータ名>説明 :新しいプロセスの作成: 	新しいプロセス ID:	2064 	イメージ ファイル名 :	C:\WINDOWS\system32\llssrv.exe 	クリエータ プロセス ID:	264 	ユーザー名 :	<コンピュータ名>$ 	ドメイン :		<ドメイン名> 	ログオン ID:		(0x0,0x3E7)

Account That Started Service Logged

種類 :	成功の監査ソース :	Security分類 :	詳細追跡イベント ID : 600日付 :		08/14/2000時刻 :		05:13:02ユーザー :		NT AUTHORITY\SYSTEMコンピュータ :         <コンピュータ名>説明 :プロセスがプライマリ トークンに割り当てられました。 	プロセス ID:	2064 	イメージ ファイル名 :	C:\WINDOWS\system32\llssrv.exe 	ユーザー名 :	<ユーザー名> 	ドメイン :		<ドメイン名> 	ログオン ID:		(0x0,0x1CBC6A)
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 274176 (最終更新日 2001-07-05) をもとに作成したものです。

プロパティ

文書番号:274176 - 最終更新日: 09/17/2001 13:07:00 - リビジョン: 1.0

  • Microsoft Windows XP Professional Edition
  • kbinfo kbtool KB274176
フィードバック