1100 イベントログサービスの停止
Windows のイベントログサービスが停止したときに記録される。正常なシャットダウンでも出るが、攻撃者がログ採取を止めて痕跡を隠す動きの入口にもなりうる。
概要
サブカテゴリは Other Events、記録元は Microsoft-Windows-Eventlog プロバイダ(イベントログ機能そのものを担う部品)。サービスが停止するたびに記録され、通常のシステムシャットダウンの一環としても発生する。一方、電源の強制断のような緊急リセットでは記録されない。
発生契機・方法
- OS の正常なシャットダウンや再起動の過程。
- 管理操作や障害でイベントログサービス (EventLog) が停止したとき。
- 攻撃者がログ採取を意図的に止めたとき。
緊急リセットでは出ないため、「停止イベントが無いのにログが途切れている」状態もまた別の手がかりになる。
セキュリティ上の確認事項
- システムの停止・再起動の追跡に使える。再起動なら直後に起動イベント 4608 が続くはずなので、ペアで確認する。
- 業務時間外や予定外のタイミングでの 1100 は、ログ採取の妨害(防御回避: 検知やログを妨げて活動を隠す動き)を疑う。停止の直後にログ消去 1102 が続くパターンは特に危険で、ランサムウェア事案で頻繁に観測される。
- 1 台だけの停止か、複数ホストで同時多発かでも意味が変わる。
ログレビュー時の注意観点
- 正常なシャットダウンでも必ず出るため、件数そのものは珍しくない。停止時刻を運用予定(パッチ適用・定例再起動)と突き合わせ、説明のつかないものだけを残す。
- ログを SIEM(複数機器のログを集約・分析する基盤)へ転送している場合、サービス停止後にホスト側で記録されなかった空白期間を、転送の途絶として検知できる。
主なフィールド
| フィールド | 意味 |
|---|---|
Computer | 停止が起きたホスト名 |
TimeCreated | 停止時刻。起動イベントや運用予定との突合に使う |
このイベントには固有のデータフィールドはなく、内部的に ServiceShutdown という記録だけを持つ。