1108 イベント処理エラー
イベントログサービスが、受け取ったイベントの処理中にエラーを起こしたときに記録される。直前に不正・不完全なイベントが存在することが多い。
概要
サブカテゴリは Other Events、記録元は Microsoft-Windows-Eventlog。イベントを正しくログへ書き込めなかった、または必要なパラメータが渡されなかった場合に発生する。多くは 1108 の直前に、欠損や不整合のあるイベントが残っている。原文では不正な 4703 の後に 1108 が出る例が挙げられている。
発生契機・方法
- あるプロバイダ(イベントの発行元)が、形式の崩れたイベントを送ってきたとき。
- フィールド
%1には、処理に失敗したイベントの発行元(セキュリティイベントソース)名が入る。登録済みのソースはHKLM\SYSTEM\CurrentControlSet\Services\EventLog\Securityで確認できる。
セキュリティ上の確認事項
- すべての 1108 を監視し、原因となったイベントを確認することが推奨される。
- イベントの改ざんや、ログ機構を狙った細工(不正なイベントを送り込んで記録を妨げる試み)の兆候となりうるため、直前のイベントとセットで調べる。
ログレビュー時の注意観点
- 1108 単体ではなく、直前に並ぶ「壊れたイベント」とペアで読む。どのソース(
%1)で起きたかが切り分けの起点になる。 - 特定のソースで繰り返し出る場合は、そのプロバイダ側の不具合か、意図的な細工かを切り分ける。
主なフィールド
| フィールド | 意味 |
|---|---|
%1 | 処理に失敗したイベントの発行元(セキュリティイベントソース)名 |