5034 Windows ファイアウォールドライバの停止

Windows ファイアウォールのドライバが停止したときに記録される。フィルタリングの実体が止まることを意味し、防御の喪失につながる。

概要

サブカテゴリは Audit Other System Events。ファイアウォールのカーネルドライバが停止すると生成される。起動 5033 と対で、フィルタリング機能の稼働区間を把握する。

発生契機・方法

シャットダウン、ドライバのアンロード等による停止。

セキュリティ上の確認事項

ドライバの停止はパケットフィルタが効かなくなることを意味する。サービス停止 5025 と同様、防御回避の文脈で注目し、業務時間外・予定外の停止を調査する。
停止後に起動 5033 が続いているか（復旧したか）、停止中に不審な通信が無いかを確認する。

ログレビュー時の注意観点

正常なシャットダウンでも停止する。停止時刻と運用予定を突き合わせる。
停止のみで起動が伴わない状況に注目する。

主なフィールド

フィールド	意味
`Computer` / `TimeCreated`	停止ホストと時刻

参考

Microsoft Learn: 5034(S) The Windows Firewall Driver was stopped.