当社では、Win10 Enterprise システムを実行し、PIV と Pulse Secure を使用してリモート ログインしています。ユーザーのログオン/ログオフ時間を確認すると、コード 811 と 812 にこれらのイベントに関連付けられたタグがあることがわかりました。タグ番号は 0、1、2、3、4、5、6、7、8、9、12、13 です。これらのタグ イベントが何であるかを知っている人はいますか? または、それらの参照先はどこでしょうか? このフォーラムの Ben N は、2021 年 1 月 3 日に次の最初の 6 つのエントリを提供しました: 2=logon (SessionEnv、TermSrv、Profiles、Sens、または GPClient) これらの違いに関するコンテキストはありますか? 3=ログオフ (Dot3svc、Wlansvc、SessionEnv、Profiles、GPClient、TermSrv、Sens) 4=ロック (自動か手動かに関係なく) (TermSrv、Sens) 5=ロック解除 (TermSrv、Sens) 6=スクリーンセーバーの開始 7=スクリーンセーバーの停止
イベント ビューアーに表示されるこれらの番号に関連付けられた最小限のテキストは次のとおりです: 0: TermSrv、GPClient、TrustedInstaller) 1: TermSrv) 8: SessionEnv、Sens)
9: SessionEnv、Sens) 12: TermSrv、Sens、GPClient、SessionEnv) 13: GPClient、TermSrv)
コードと関連テキストが何を指しているのかについてのコンテキストを教えていただければ幸いです。
答え1
私も同じことを調査してきましたが、Microsoft-Windows-Winlogon/操作ログは、ログオン/ログオフやロック/ロック解除などのユーザーアクティビティを判断するための、ある程度信頼できる情報源であるようです。
私が最も興味を持っているのは相互の作用コンソールに対して行われているアクティビティがいくつかあったので、私の研究はそれに焦点を当てていました。
最新のビルド バージョンを実行しているいくつかの Windows 10 システムからイベントをサンプリングしました。コンソールへの対話型ログオン、セッションのロックとロック解除、ユーザーの切り替え機能の使用、ユーザー セッションに対するターミナル サービス コマンド ( や など) の使用などのアクションを実行しましtsdisconたlogoff。
ほとんどの場合、イベント ID 811 (「通知イベントの処理を開始しました」) の後に 812 (「通知イベントの処理が完了しました」) が一貫して続くように見えるため、作業中のデータセットをフィルター処理して、イベント ID 812 のみが含まれるようにしました。
SYSTEM がユーザー ID であるイベントは、多くの状況でログに記録されるようです。私は主にエンド ユーザー自身が実行するアクティビティに興味があったため、これらのイベントは無視することにしました。
ログにはSubscriberNameの値が複数存在します。当初はSubscriberNameが用語Srv最も関連性が高いと思われるイベントが常に存在するとは限りません。(たとえば、tsdiscon関連するUserID値を持つイベントをセッションに対して使用すると、8そしてSubscriberNameはセンス。
これらすべてを念頭に置いて、私の調査結果は次のとおりです。
- 0と1: UserId が NT AUTHORITY\SYSTEM の場合にのみ存在し、ユーザーがローカル SYSTEM の場合に存在する唯一の異なる値です。
- 2と12: ログオン
- 3と13: ログオフ
- 4: セッションがロックされました
- 5: セッションがロック解除されました
- 8: ディスクへのセッションが中断されました (ユーザーの切り替えが選択されたときや、使用された場合など
tsdiscon)。 - 9: ディスクからセッションが再開されました。