4647 ユーザーによるログオフの開始
ユーザーが明示的にログオフ操作を開始したときに記録される。以降そのユーザーの操作は発生しない。4634 と対で、対話セッションの終了点を示す。
概要
サブカテゴリは Audit Logoff。特定のアカウントがログオフ機能を使ってログオフ手続きを開始したことを示す。セッションの消滅そのものを示す 4634 との違いは、4647 が「ユーザー起点のログオフ操作」を表す点。対話(Interactive)・リモート対話(RemoteInteractive)で標準的な方法でログオフした場合に典型的で、通常は 4647 と 4634 の両方が出る。
発生契機・方法
- ユーザーがスタートメニューやセッション切断などで明示的にログオフしたとき。
Logon IDで対応する 4624 と結び付く。
セキュリティ上の確認事項
- ユーザー起点のログオフを確認できるため、対話セッションの利用区間(ログオン~ログオフ)を正確に区切れる。RDP(
LogonType 10)での利用時間帯の把握に有用。 - ログオンはあるのにユーザー起点の 4647 がなく、4634 だけでセッションが切れている場合、切断・強制終了など通常と異なる終わり方を示すことがある。
ログレビュー時の注意観点
- 多くは正常な日常イベント。単独で異常を判断するより、4624 / 4634 と組み合わせてセッションの全体像を作る材料として使う。
- システムアカウントではなく、対話ログオンしたユーザーアカウントで出るのが基本。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | ログオフを開始したアカウント |
Logon ID | 4624 / 4634 との突合キー |