Product Documentation
Abstract
Windows イベント ID 4625 は 1 つの QID にマップされますが、構文解析され、固有の QID にマップされる可能性のあるサブステータスがあります。
Content
Windows イベント ID 4625 :このイベントは「アカウントがログオンに失敗した」イベントですが、原因は後述の「失敗の理由」で説明したようにさまざまなことが考えられます。12 件の考えられる失敗の理由を Windows Security Log Event ID 4625 から転記しました。
ログオンに失敗したアカウント:
これは、ログオンしようとして失敗したユーザーを識別します。
- セキュリティー ID: ログオンしようとしたアカウントの SID。 指定されたユーザー名が有効なアカウント・ログオン名に対応していないなど、有効なアカウントが識別されなかった場合は、ブランクまたは NULL SID と識別されます。
- アカウント名:ログオン試行で指定されたアカウントログオン名。
- アカウント・ドメイン: ドメイン、またはローカル・アカウントの場合 - コンピューター名。
失敗に関する情報:
このセクションでは、ログオンが失敗した理由について説明します。
- 失敗の理由: ログオン失敗のテキストでの解釈。
- ステータスとサブステータス:ログオン失敗の理由を説明する 16 進数コード。 サブステータスが記入される場合と記入されない場合があります。以下は私たちが観察したコードです。
ステータスおよびサブステータスコードの説明(「失敗の理由:」とは照合していません )
0xC0000064 ユーザー名が存在しない
0xC000006A ユーザー名は正しいが、パスワードが間違っている
0xC0000234 ユーザーは現在ロックアウトされている
0xC0000072 アカウントは現在無効である
0xC000006F ユーザーが、制限された曜日または時刻の範囲外でログオンしようとした
0xC0000070 ワークステーションの制約事項、または認証ポリシーサイロの違反 ( ドメイン・コントローラーでイベント ID 4820 を探す )
0xC0000193 アカウントの有効期限切れ
0xC0000071 パスワードの有効期限切れ
0xC0000133 DC と他のコンピューター間の時刻が長期間同期されていない状態
0xC0000224 ユーザーは次回のログオン時にパスワード変更の必要がある
0xC0000225 リスクではなく、明確な Windows のバグである
0xc000015b このマシンで要求されたログオンのタイプ ( ログオンの権限 ) がユーザーに付与されていない
解決策 :
* Fix Central 上の最新版 Microsoft Windows DSM がインストールされていることを確認してください。
** 新しいパラメーターで Windows イベント ID 4625 のサブステータスの解析を有効にします。
- /opt/qradar/conf ディレクトリーに、WindowsAuthServer.properties という名前のファイルを作成します。
- 新しく作成されたプロパティーファイルに、下記パラメーター名と値を挿入します。
enableAdditionalParsingFailedLogOn=true
- WindowsAuthServer.properties にパラメーター値が追加または更新された後は、必ず systemctl restart ecs-ec コマンドを実行する必要があります。
- ペイロードイベントは、「失敗の監査:アカウントがログオンに失敗した:アカウントが無効」、または「アカウントがログオンに失敗した:ユーザー名が存在しない」というように解析されます。
Related Information
Was this topic helpful?
Document Information
Modified date:
30 October 2019
UID
ibm11099179