1102 監査ログのクリア

セキュリティ監査ログがクリア（全消去）されたときに記録される。平常時にはまず発生しないイベントで、出ていること自体が調査の対象になる。

概要

サブカテゴリは Other Events、記録元は Microsoft-Windows-Eventlog。Windows のセキュリティログが消去されるたびに記録される。重要なのは、消去を実行したアカウント（SubjectUserSid と SubjectUserName）が記録される点で、消去そのものは止められなくても「誰が消したか」は残る。

発生契機・方法

• イベントビューアの「ログのクリア」操作。
• wevtutil cl Security（コマンドラインでログを消去するツール）。
• PowerShell の Clear-EventLog / Remove-EventLog コマンド。

いずれの経路でも、消去の直前にこの 1102 自体が書き込まれてから消去が完了するため、消した側も 1102 だけは消し残しやすい。

セキュリティ上の確認事項

• MITRE ATT&CK の T1070.001 (Clear Windows Event Logs: 痕跡を消すためにイベントログを消去する手口) に直接対応する、防御回避の代表的なイベント。攻撃の終盤やランサムウェアの実行直前によく観測される。
• 消去の手段を特定するため、プロセス生成 4688 と相関させ、wevtutil.exe の cl 引数や powershell.exe の Clear-EventLog 実行を探す。
• 記録された実行アカウントが、本来ログ消去を行う権限・必要のないアカウントであれば、その資格情報の悪用を疑う。
• システムログ側の Event ID 104（同じくログ消去を示す）と併せて見ると、どのログが消されたか把握しやすい。

ログレビュー時の注意観点

• 正規の運用でセキュリティログを手動消去する場面はほとんどない。したがって、件数の多寡ではなく「1 件でも出たら必ず調べる」高優先度のイベントとして扱う。
• ログを SIEM へ即時転送していれば、ホスト上のログが消されても集約側に証跡が残る。1102 はホスト単体の防御が破られた前提で、転送済みデータと突き合わせる。
• 消去の前後でログが途切れるため、消去時刻の前後関係（直前に何の操作があったか）を、転送済みログや他ホストのログから補完する。

主なフィールド

用語メモ

• MITRE ATT&CK — 実際の攻撃手口を体系化した知識ベース。手口に T で始まる番号が振られる。
• 防御回避 (defense evasion) — 検知やログ採取を妨げ、活動を見つかりにくくする攻撃の段階。

参考

• Microsoft Learn: 1102(S) The audit log was cleared.
• MITRE ATT&CK: T1070.001 Clear Windows Event Logs
• Splunk: Windows Event Log Cleared