ログオン・ログオフ・起動・シャットダウンに関するWindows イベントログのメモ。
Windows 11で検証。
ログオン
| EID | 4624 |
| イベントログの種類 | Security |
| 説明 | ユーザーがシステムへのログオンに成功したときに記録される。 |
| メッセージ | An account was successfully logged on. Subject: Security ID: SYSTEM Account Name: MYDESKTOP$ Account Domain: WORKGROUP Logon ID: 0x3E7 Logon Information: Logon Type: 7 Restricted Admin Mode: - Remote Credential Guard: - Virtual Account: No Elevated Token: No Impersonation Level: Impersonation New Logon: Security ID: MYDESKTOP\user Account Name: user@example.com Account Domain: MicrosoftAccount Logon ID: 0x802557F Linked Logon ID: 0x8025358 Network Account Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x55c Process Name: C:\Windows\System32\lsass.exe Network Information: Workstation Name: MYDESKTOP Source Network Address: - Source Port: - Detailed Authentication Information: Logon Process: Negotiat Authentication Package: Negotiate Transited Services: - Package Name (NTLM only): - Key Length: 0 |
| EID | 4625 |
| イベントログの種類 | Security |
| 説明 | ユーザーがシステムへのログオンに失敗したときに記録される。 |
| メッセージ | An account failed to log on. Subject: Security ID: SYSTEM Account Name: MYDESKTOP$ Account Domain: WORKGROUP Logon ID: 0x3E7 Logon Type: 2 Account For Which Logon Failed: Security ID: NULL SID Account Name: - Account Domain: - Failure Information: Failure Reason: An Error occured during Logon. Status: 0xC000006D Sub Status: 0xC0000380 Process Information: Caller Process ID: 0x884 Caller Process Name: C:\Windows\System32\svchost.exe Network Information: Workstation Name: - Source Network Address: 127.0.0.1 Source Port: 0 Detailed Authentication Information: Logon Process: User32 Authentication Package: Negotiate Transited Services: - Package Name (NTLM only): - Key Length: 0 |
ログオフ
| EID | 4634 |
| イベントログの種類 | Security |
| 説明 | ユーザーがシステムからログオフしたときに記録される。 |
| メッセージ | An account was logged off. Subject: Security ID: MYDESKTOP\user Account Name: user Account Domain: MYDESKTOP Logon ID: 0x80243A0 Logon Type: 2 |
| EID | 4647 |
| イベントログの種類 | Security |
| 説明 | ユーザーがシステムからログオフしたときに記録される。 |
| メッセージ | User initiated logoff: Subject: Security ID: MYDESKTOP\user Account Name: user Account Domain: MYDESKTOP Logon ID: 0x7677F8C |
起動
| EID | 6005 |
| イベントログの種類 | System |
| 説明 | システムが起動したときに記録される。 |
| メッセージ | The Event log service was started. |
| EID | 41 |
| イベントログの種類 | System |
| 説明 | システムが完全にシャットダウンされないまま再起動したときに記録される。 |
| メッセージ | The system has rebooted without cleanly shutting down first. This error could be caused if the system stopped responding, crashed, or lost power unexpectedly. |
シャットダウン
| EID | 6006 |
| イベントログの種類 | System |
| 説明 | システムがシャットダウンしたときに記録される。 |
| メッセージ | The Event log service was stopped. |
| EID | 1074 |
| イベントログの種類 | System |
| 説明 | システムがシャットダウンしたときに記録される。 |
| メッセージ | The process C:\Windows\System32\RuntimeBroker.exe (MYDESKTOP) has initiated the power off of computer MYDESKTOP on behalf of user MyDesktop\user for the following reason: Other (Unplanned) Reason Code: 0x0 Shutdown Type: power off Comment: |
| EID | 6008 |
| イベントログの種類 | System |
| 説明 | システムが予期せずシャットダウンしたときに記録される。 |
| メッセージ | The previous system shutdown at 8:29:14 PM on 5/19/2023 was unexpected. |
