4779 セッションの切断
ターミナルサービス(RDP)セッションからの切断、またはユーザー切り替えによる離脱時に記録される。再接続 4778 と対で、リモートセッションの利用区間を追う。
概要
サブカテゴリは Audit Other Logon/Logoff Events。ユーザーが RDP セッションから切断したとき、または高速ユーザー切り替えで既存デスクトップから離れたときに生成される。切断はセッションを終了させず、後で再接続できる状態を残す。
発生契機・方法
- RDP セッションの切断(ログオフではなく接続だけ切る)。
- 高速ユーザー切り替えで別ユーザーに切り替えたとき。
セキュリティ上の確認事項
- 切断は「ログオフせずにセッションを残す」操作のため、放置されたセッションは後から(攻撃者にも)再接続されうる。再接続 4778 とペアで、セッションが誰の手に渡ったかを追う。
- ログオフ 4647/4634 と違い、セッションは生きたまま。残存セッションの管理状況を確認する観点で見る。
ログレビュー時の注意観点
- リモート運用で日常的に発生する。再接続 4778 とセットで、セッションの離脱~復帰の流れを組み立てる。
- 長時間切断のまま残るセッションは、再接続元の異常と併せて注意する。
主なフィールド
| フィールド | 意味 |
|---|---|
Account Name | 切断したアカウント |
Client Name / Client Address | 接続元の端末名/IP |
Session Name | 対象セッション |