4634 アカウントのログオフ
ログオンセッションが終了し、存在しなくなったときに記録される。4624 と Logon ID で結び付け、セッションの開始から終了までを追える。
概要
サブカテゴリは Audit Logoff。セッションが終了して消滅したことを示す。ユーザーが明示的にログオフした 4647 との違いは、4647 が「ログオフ操作の開始」を示すのに対し、4634 は「セッションが終了し、もう存在しない」状態を示す点。対話・リモート対話では、ユーザーが通常の方法でログオフすると両方が出るのが典型。
発生契機・方法
- ログオンセッションが終了したとき(明示的なログオフ、タイムアウト、切断後の終了など)。
Logon IDで対応する 4624 と結び付く。ただし Logon ID は同一マシン内・再起動間でのみ一意。
セキュリティ上の確認事項
- セッションの寿命(ログオンからログオフまで)を組み立てる材料になる。深夜のごく短いセッションや、想定外の
LogonTypeでの開始・終了は調査の起点。 - 特定のアカウントが使うべきでない
LogonType(例: ドメイン管理者が Batch=4 や Service=5)でセッションが張られていないかを、この種別フィールドで確認する。
ログレビュー時の注意観点
DWM-*/UMFD-*/SYSTEMなど内部アカウントのログオフが大量に出る正常ノイズ。原文の例もDWM-1のログオフである。これらは除外する。- ログオフは必ずしもログオンと 1 対 1 で対応しない(強制終了やクラッシュでは出ないことがある)。単独で見ず、4624 / 4647 と組み合わせてセッションを再構成する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | ログオフしたアカウント |
Logon ID | 4624 と突き合わせるキー |
Logon Type | 終了したセッションのログオン種別 |