5889 COM+ カタログからのオブジェクト削除

COM+ カタログからオブジェクトが削除されたときに記録される。追加 5890 と対で、COM+ 構成の変遷を追う。

概要

サブカテゴリは Audit Other Object Access Events。COM+ カタログに登録されたオブジェクトが削除されると生成される。

発生契機・方法

COM+ アプリケーション/コンポーネントの登録解除・削除。

セキュリティ上の確認事項

正規の COM+ コンポーネントの削除は、依存アプリの動作に影響しうる。攻撃者が使った COM+ オブジェクトを後で削除して痕跡を消す可能性も考える。追加 5890・変更 5888 の履歴と突き合わせる。

ログレビュー時の注意観点

アプリのアンインストールでも発生する。削除対象・主体の正常パターンと照合する。
COM+ 構成の一連の変更（追加→変更→削除）として読む。

主なフィールド

フィールド	意味
対象オブジェクト	削除された COM+ オブジェクト
`Subject\Account Name`	削除を行った主体

参考

Microsoft Learn: 5889(S) An object was deleted from the COM+ Catalog.