WindowsPCのログオン履歴を確認したいビジネスマンは少なくありません。不審なログオンがないか、誰がいつログオンしたかを把握することはセキュリティ管理の基本です。
Windowsのイベントログ機能を使えば、PCへのログオン成功と失敗の記録を詳細に確認できます。
この記事では、イベントビューアーを活用し、ログオン履歴を正確に把握する手順を解説します。
【要点】イベントログでWindowsのログオン履歴を把握する
- イベントビューアーの起動: Windowsの管理ツールからイベントログの記録を確認する画面を開きます。
- セキュリティログのフィルター設定: ログオンの成功を示すイベントID 4624と失敗を示す4625でログを絞り込みます。
- ログオン履歴の詳細確認: 各ログオンイベントの詳細情報を分析し、ユーザー名やログオン時刻、種類を把握します。
ADVERTISEMENT
目次
イベントログでログオン履歴を確認する重要性
Windowsのイベントログは、システム内で発生した重要なイベントを記録する機能です。特に「セキュリティ」ログは、ユーザーのログオンやログオフ、ファイルアクセスなど、セキュリティに関連する活動を詳細に記録します。
ログオン履歴を確認することは、不正アクセスの兆候を早期に発見したり、内部での情報漏洩リスクを評価したりするために非常に重要です。システム管理者だけでなく、一般のビジネスユーザーも自身のPCのログオン状況を把握するべきです。
ログオンイベントには、成功ログオンを示すイベントID 4624と、失敗ログオンを示すイベントID 4625が主に記録されます。これらのIDを追跡することで、誰が、いつ、どこからPCにアクセスしようとしたのかを具体的に把握できます。
ログオンイベントの種類と意味
ログオンイベントには、そのログオンがどのような方法で行われたかを示す「ログオンの種類」という情報も含まれます。例えば、対話型ログオンはPCのキーボードとマウスを使った直接的なログオンを示し、リモートデスクトップログオンはネットワーク経由のリモートアクセスを示します。
これらの情報を確認することで、ログオンの状況をより深く理解し、不審なログオンがリモートから試みられていないかといったリスクも評価できます。
Windows 11でログオン履歴を確認する具体的な手順
Windows 11でイベントビューアーを起動し、ログオン履歴を確認する手順を解説します。Windows 10でも同様の操作で確認できます。
- イベントビューアーを起動する
デスクトップのスタートボタンを右クリックし、表示されるメニューから「イベントビューアー」を選択します。または、WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログに「eventvwr.msc」と入力してEnterキーを押す方法もあります。 - セキュリティログにアクセスする
イベントビューアーが起動したら、左側のペインで「Windowsログ」を展開し、「セキュリティ」を選択します。これにより、Windowsのセキュリティに関連するイベントの一覧が表示されます。 - ログオンイベントをフィルターする
右側の「操作」ペインにある「現在のログをフィルター」をクリックします。フィルターダイアログが表示されたら、以下の設定を行います。- 「イベントID」の入力欄に「4624, 4625」と入力します。これはログオン成功とログオン失敗のイベントIDを指定するものです。
- 「ログレベル」の項目で、「監査の成功」と「監査の失敗」の両方にチェックを入れます。
- 必要に応じて「ログオンの種類」ドロップダウンメニューから、特定のログオンの種類に絞り込むことも可能です。例えば、リモートデスクトップ経由のログオンだけを確認したい場合は「リモート対話型ログオン」を選択します。
設定が完了したら、「OK」ボタンをクリックしてフィルターを適用します。
- ログオンイベントの詳細を確認する
フィルターが適用されると、ログオン成功または失敗のイベントのみが表示されます。一覧から確認したいイベントをダブルクリックするか、選択して下部の「詳細」タブをクリックします。イベントプロパティウィンドウで、「全般」タブや「詳細」タブを切り替えることで、ログオンしたユーザー名、ログオン時刻、ソースIPアドレス、ログオンの種類、失敗の理由などの詳細情報を確認できます。
ログオン履歴確認時の注意点とよくある疑問
イベントログでログオン履歴を確認する際には、いくつかの注意点があります。特に、ログが記録されない場合や、失敗の原因が不明な場合の対処法について解説します。
監査ポリシーが未設定の場合の対処法
ログオンイベントがイベントログに記録されない場合、Windowsの監査ポリシーが適切に設定されていない可能性があります。この設定は、どのようなセキュリティイベントを記録するかを決定します。
Windows 11 ProまたはEnterpriseエディションでは、以下の手順でローカルセキュリティポリシーを設定できます。
- ローカルセキュリティポリシーエディターを開く
スタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。開いたダイアログに「secpol.msc」と入力し、Enterキーを押します。 - 監査ポリシーに移動する
左側のペインで「セキュリティの設定」を展開し、「ローカルポリシー」を選択します。さらに「監査ポリシー」をクリックします。 - ログオンイベントの監査を有効にする
右側の詳細ペインで「アカウントログオンイベントの監査」と「ログオンイベントの監査」をそれぞれダブルクリックします。表示されるプロパティウィンドウで、「成功」と「失敗」の両方のチェックボックスをオンにし、「OK」をクリックします。 - 設定を適用する
ローカルセキュリティポリシーエディターを閉じ、PCを再起動するか、コマンドプロンプトを管理者として実行し、「gpupdate /force」と入力してポリシーを強制的に更新します。
Windows 11 HomeまたはWindows 10 Homeエディションには、ローカルセキュリティポリシーエディターが搭載されていません。この場合、管理者権限のコマンドプロンプトを使用して監査ポリシーを設定できます。
- コマンドプロンプトを管理者として実行する
スタートボタンを右クリックし、「ターミナル 管理者」または「Windows PowerShell 管理者」を選択します。 - 監査ポリシーを設定するコマンドを実行する
以下のコマンドを入力し、Enterキーを押します。auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
このコマンドは、ログオン/ログオフカテゴリの監査を成功と失敗の両方で有効にします。現在の設定を確認するには、auditpol /get /category:*と入力します。
ログオン失敗の原因が特定できない場合
ログオン失敗イベントID 4625の詳細情報には、「サブステータスコード」が含まれています。このコードは、ログオン失敗の具体的な原因を示す重要な手がかりです。
一般的なサブステータスコードとその意味は以下の通りです。
- 0xC000006A: ユーザー名またはパスワードが正しくありません。
- 0xC0000234: アカウントがロックアウトされています。
- 0xC0000064: ユーザー名が存在しません。
- 0xC000006F: アカウントの有効期限が切れています。
- 0xC0000070: アカウントが無効になっています。
- 0xC0000072: アカウントがログオン時刻の制限を超過しています。
イベントの詳細画面でこれらのコードを確認し、対応する原因に基づいてトラブルシューティングを進めてください。特定のサブステータスコードでログをフィルターすることで、さらに分析を深めることも可能です。
ログオン履歴が古すぎる、または保存期間が短い
イベントログの記録は、既定で最大サイズが設定されており、古いログから順に上書きされることがあります。重要なログオン履歴を長期間保持したい場合は、セキュリティログのプロパティで設定を変更する必要があります。
- セキュリティログのプロパティを開く
イベントビューアーの左ペインで「Windowsログ」-「セキュリティ」を右クリックし、「プロパティ」を選択します。 - ログの最大サイズを変更する
「ログの最大サイズ」の値を増やし、より多くのイベントを保存できるようにします。既定では20MB程度ですが、必要に応じて数百MBに増やせます。 - イベントがいっぱいになったときの動作を設定する
「イベントがいっぱいになったとき」のドロップダウンメニューから、以下のいずれかを選択します。- 必要に応じてイベントを上書き: 最も古いイベントから順に上書きされます。
- ログをアーカイブしてから新しいイベントを上書き: ログファイルがいっぱいになると、現在のログがアーカイブされて新しいログが開始されます。重要なログを失いたくない場合に推奨されるオプションです。
- イベントを上書きしない: ログがいっぱいになると記録を停止します。ログがいっぱいになった際に警告が表示されますが、手動でログをクリアしない限り、それ以上のイベントは記録されません。
- 設定を適用する
設定変更後、「OK」をクリックしてプロパティウィンドウを閉じます。
これらの設定を適切に管理することで、必要なログオン履歴を確実に保持し、セキュリティ監査に役立てることができます。
ADVERTISEMENT
ログオン成功イベントIDとログオン失敗イベントIDの比較
ログオンの成功と失敗は異なるイベントIDで記録され、それぞれ異なる情報を含んでいます。ここでは主なログオンイベントIDの比較を行います。
| 項目 | ログオン成功イベントID 4624 | ログオン失敗イベントID 4625 |
|---|---|---|
| カテゴリ | ログオン/ログオフ | ログオン/ログオフ |
| 概要 | ユーザーが正常にシステムにログオンしたことを示す | ユーザーがシステムへのログオンに失敗したことを示す |
| 主な情報 | ログオンしたユーザー名、ログオンの種類、ログオンID、ソースワークステーション名、ソースIPアドレス | ログオンを試みたユーザー名、ログオンの種類、失敗の理由を示すサブステータスコード、ソースワークステーション名、ソースIPアドレス |
| ログオンの種類例 | 対話型ログオン2、ネットワークログオン3、リモート対話型ログオン10 | 対話型ログオン2、ネットワークログオン3、リモート対話型ログオン10 |
| 利用目的 | 正当なアクセス履歴の確認、ユーザー活動の追跡 | 不正アクセス試行の検出、アカウントロックアウトの原因特定、パスワード入力ミスの調査 |
まとめ
この記事で解説した手順により、Windowsのイベントビューアーを使ってログオンの成功と失敗の履歴を詳細に確認できるようになりました。
ログオン履歴の確認は、セキュリティ上の不審な動きを早期に発見し、トラブルシューティングを行う上で非常に有効です。
監査ポリシーの設定やログの保存期間の調整を行うことで、より効果的なセキュリティ管理が可能になります。定期的にイベントログを確認し、PCのセキュリティ状態を適切に保ちましょう。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】画面がチカチカ・点滅する!グラフィックドライバの更新と設定の見直し
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法
- Windows 11を極限まで軽量化する「不要な標準サービス」停止リスト|PCの動作を爆速化する設定手順とリスク管理の全貌
- 【Windows】Cドライブが赤い!空き容量不足を解消して数GBを一瞬で空ける4つの最強クリーンアップ術