5030 Windows ファイアウォールサービスの起動失敗
Windows ファイアウォールサービスの起動に失敗したときに記録される。防御が立ち上がらないことを意味し、防御の喪失につながる。
概要
サブカテゴリは Audit Other System Events。ファイアウォールサービス(MPSSVC)の起動が失敗すると生成される。正常起動 5024 の対となる障害イベント。
発生契機・方法
- 依存サービスの問題、ドライバ初期化失敗 5029、構成破損などにより起動に失敗したとき。
セキュリティ上の確認事項
- 起動失敗はファイアウォールが効いていないことを意味する。攻撃者がファイアウォールの起動を妨害して防御を無効化する可能性も考え、原因を調査する。
- 起動失敗が続く場合、その間ホストは無防備になりうる。ネットワークアクセスの監視を強める。設定読込失敗 5027/5028・ドライバ失敗 5029 と併せて原因を切り分ける。
ログレビュー時の注意観点
- まれだが重要な障害イベント。起動失敗中の不審な通信・ログオンが無いか確認する。
- 正常起動 5024 が後続しているか(復旧したか)を確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Error 情報 | 起動失敗の原因 |