コンテンツにスキップ

Windows Event Log

Windows のセキュリティ監査イベント (Event ID) を 1 件ずつ日本語・英語で解説するセクションです。 原文は Microsoft Learn 上の Windows Security Auditing Events を基に、運用・SIEM・インシデント対応の観点での補足(発生契機、セキュリティ上の確認事項、ログレビュー時の注意観点)を加えています。

各記事は、公式の説明をそのまま訳すのではなくアレンジし、攻撃手法(pass-the-hash、Kerberoasting、DCSync、横展開など)や検知のポイント、ノイズの扱いといった実務的な内容を中心に構成しています。専門用語には初学者向けの補足を添えています。

構成

  • 対象は Microsoft Learn の auditing セクションにある Event ID ページ全 244 件
  • 各イベントに日本語版 (event-<id>.md) と英語版 (event-<id>.en.md) を用意しています。
  • weight に Event ID を設定しているため、サイドバーは ID 昇順で並びます。

主な分類とタグ

  • ログオン / ログオフ (4624, 4625, 4634, 4647, 4648, 4672, 4768, 4769, 4771, 4776 ほか)
  • アカウント管理 (4720, 4722, 4724, 4726, 4732, 4738, 4740, 4741, 4742 ほか)
  • ポリシー変更 (4719, 4739, 4713, 4715, 4906 ほか)
  • プロセス追跡 (4688, 4689, 4696)
  • オブジェクトアクセス / 共有 (4656, 4660, 4663, 5140, 5142, 5145 ほか)
  • ディレクトリサービス (4662, 5136, 5137, 5141, 4928 ほか)
  • ファイアウォール / フィルタリング (4946, 4950, 5025, 5031, 5156, 5157 ほか)
  • 暗号 / コード整合性 / デバイス (5058, 5061, 5038, 6410, 6416, 6423 ほか)

注意

最新の正確な情報は、各記事末尾の Microsoft Learn 原文リンク(および参照した一次情報)を必ず確認してください。本セクションはキュレーション・補足版です。