4689 プロセスの終了

プロセスが終了するたびに記録される。4688（プロセス作成）と対で、プロセスの寿命や、不審なプロセスがいつ消えたかを把握できる。

概要

サブカテゴリは Audit Process Termination。プロセスが終了したときに生成され、終了したプロセスの名前・ID・実行アカウントを記録する。4688 と Process ID で結び付き、プロセスの起動から終了までの区間を再構成できる。

発生契機・方法

• あらゆるプロセスの終了（正常終了・強制終了を問わず）。
• 終了コード（Exit Status）が含まれる場合がある。

セキュリティ上の確認事項

• 不審なプロセス（4688 で検知したもの）が、いつまで動いていたかを把握する材料になる。短命のプロセス（起動直後に消える）は、実行後に痕跡を残さない狙いを示すことがある。
• 監視・防御プロセス（EDR エージェント、ログ転送など）の予期しない終了は、防御回避を疑う着目点。

ログレビュー時の注意観点

• プロセス終了は 4688 と同様に大量に出る。単体で見るより、4688 と組み合わせてプロセスのライフサイクルを追う使い方が中心。
• 終了イベントは必ずしも作成イベントと 1 対 1 にならない（監査設定の差や記録漏れ）。寿命の分析は補助的に扱う。

主なフィールド

参考

• Microsoft Learn: 4689(S) A process has exited.