4608 Windows の起動

LSASS プロセスが起動し、監査サブシステム（ログ採取の仕組み）が初期化されたときに記録される。OS の起動を示す基準点になるイベント。

概要

サブカテゴリは Audit Security State Change。LSASS.EXE（認証と監査を担う中核プロセス）の起動時、監査機能が立ち上がる段階で記録され、通常は OS の起動過程で発生する。固有のデータフィールドは持たない。

発生契機・方法

• システムの起動（電源投入・再起動）の過程で、監査サブシステムが初期化されたとき。
• 1 回の起動につき基本的に 1 件。これ以降のセキュリティイベントは、この 4608 を起点とした稼働期間内に記録される。

セキュリティ上の確認事項

• システムの起動を追跡できる。停止イベント 1100 や 4609（Windows のシャットダウン）とペアで、稼働・停止のタイムラインを組み立てる。
• 予定外・頻発する再起動は、不安定化やクラッシュを狙った操作、あるいは設定反映のための意図的な再起動を示すことがある。
• ログが途切れた後に唐突に 4608 だけがある場合、その間の空白（停止イベントの欠落）に注目する。

ログレビュー時の注意観点

• 正常運用でも起動のたびに出る、ノイズではない基準イベント。件数より「予定外のタイミングか」を見る。
• 監査の開始点なので、4608 の直後にどのアカウント・サービスが動き出したか（ログオンやサービス起動）を併せて確認すると、起動時の挙動を把握しやすい。

主なフィールド

固有のデータフィールドは持たない。Computer と TimeCreated で起動ホストと時刻を確認する。

参考

• Microsoft Learn: 4608(S) Windows is starting up.