ログオン監査を有効にしてWindowsユーザーのログオンアクティビティを追跡する方法

Windowsでユーザーのログオンアクティビティを追跡して、誰がいつログインしたかを記録できるかどうか疑問に思ったことはありませんか。これは、ログオン監査機能を使用するWindowsシステムで完全に可能です。ユーザーのログインとログオフのアクティビティを追跡することは、データが機密であるサーバーまたは組織の環境や、Windowsシステムで「誰がこれを行ったか」を知りたいだけの状況で非常に役立ちます。デフォルトでは、ログオン監査機能はWindowsで無効になっています。この記事では、ログオン監査を有効にする方法と、Windowsシステムでそれらの追跡イベントを確認する方法を見てみましょう。

注： ログオン監査は、Windows 8のPro、Ultimate、およびEnterpriseバージョンでのみ使用できます。

ログオン監査とは

ログオン監査は、組み込みのWindowsグループポリシー設定であり、Windows管理者が、ローカルコンピューターまたはネットワークを介したユーザーログインおよびログオフアクティビティの各インスタンスをログに記録して監査できるようにします。この機能は、ログインおよびログオフのイベントタッキングに加えて、失敗したログインの試行を追跡することもできます。これは、Windowsマシンへの攻撃を特定および分析するのに特に役立ちます。

ログオン監査を有効にする

ログオン監査を有効にするには、Windowsのグループポリシー設定を構成する必要があります。 「Win+R」を押して、gpedit.mscと入力します Enterボタンを押してWindowsグループポリシーエディタを開きます。

グループポリシーエディターが表示されたら、[コンピューターの構成]->[Windowsの設定]->[セキュリティの設定]->[ローカルポリシー]に移動し、左側のウィンドウで[監査ポリシー]を選択します。

上記のアクションにより、右側のペインにいくつかのポリシーが表示されます。ここで、「ログオンイベントの監査」ポリシーをダブルクリックして開きます。 「監査ログオンイベント」と「監査アカウントログオンイベント」はまったく異なる目的の設定であるため、混同しないでください。

ウィンドウが開いたら、「成功」と「失敗」の両方のチェックボックスを選択します。次に、[適用]ボタンと[OK]ボタンをクリックして、変更を保存します。

やるべきことはこれだけです。この時点から、ログイン、ログオフ、およびログインの失敗はすべて、イベントとしてイベントビューアに記録されます。

ログオン監査イベントの表示

Windowsイベントビューアで、すべてのログイン、ログオフ、および失敗したログイン試行イベントを表示できます。スタートメニューで検索すると、イベントビューアを起動できます。 Windows 8を使用している場合は、パワーユーザーメニュー（Win + X）を使用して同じものを起動できます。

イベントビューアを起動したら、[Windowsログ]、[セキュリティ]タブの順に移動します。

ここでは、Windowsシステムで発生したすべてのセキュリティ関連のイベントを確認できます。 「監査の成功」というキーワードをダブルクリックすると、ログインまたはログアウトしたユーザー、タイムスタンプなどの詳細が表示されます。ヒントとして、「イベントID」を使用してイベントログをフィルタリングできます。 」または「タスクカテゴリ」。下の画像からわかるように、ログオン監査は失敗したログイン試行も追跡します。

やるべきことはこれだけです。Windowsシステムでユーザーのログインを追跡するのはとても簡単です。

これがお役に立てば幸いです。Windowsでログオン監査機能を有効にしているときに問題が発生した場合は、以下にコメントしてください。