4621 CrashOnAuditFail からの復旧

監査ログに書き込めずシステムが停止した（CrashOnAuditFail）後、管理者が復旧させ再起動したときに記録される。監査が一時的に機能しなかったことを示す重大なサイン。

概要

サブカテゴリは Audit Security State Change。CrashOnAuditFail は、セキュリティログに監査イベントを記録できない場合にシステムを停止させる設定で、値が 2 のときに有効になる。停止後の再起動を経て管理者が復旧すると、このイベントが記録される。復旧により、管理者以外のユーザーも再びログオンできるようになる。

発生契機・方法

• CrashOnAuditFail = 2 の環境で、監査ログへの書き込み失敗によりシステムが停止し、その後管理者が復旧・再起動したとき。
• 設定が有効でない環境では発生しない。

セキュリティ上の確認事項

• 発生したらすべてアラートを上げることが推奨される。システムが「監査を記録できないほどの状態」に陥ったことを意味し、その間の監査が欠落している可能性がある。
• CrashOnAuditFail を有効にしていないはずの環境で出る場合、設定がベースラインから変更された兆候になる。攻撃者がログを溢れさせて監査を止める狙いと関連することもある。

ログレビュー時の注意観点

• 停止から復旧までの期間は監査証跡が欠ける前提で読む。その間の活動は SIEM への転送済みデータや他ホストのログで補完する。
• 監査が止まった根本原因（ログ満杯 1104 や資源不足など）を併せて調査する。

主なフィールド

参考

• Microsoft Learn: 4621(S) Administrator recovered system from CrashOnAuditFail.