イベントログ(Windows)

ログを活用した Active Directory に対する攻撃の検知と対策
https://www.jpcert.or.jp/research/AD_report_20170314.pdf

Appendix E) イベントログを記録するための監査ポリシーの設定
4 章で紹介している調査が必要なイベントログの例は以下のとおりである。
［表 9. 調査に必要なイベントログの例］

イベント ID 説明

4698 スケジュールされたタスクの作成

1102 イベントログの消去

4624 ログインの成功

4625 ログインの失敗

4768 Kerberos 認証（TGT 要求）

4769 Kerberos 認証（ST 要求）

4776 NTLM 認証

4672 特権の割り当て

付録 L: 監視するイベント
https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor

Get-EventLog
https://learn.microsoft.com/ja-jp/powershell/module/microsoft.powershell.management/get-eventlog?view=powershell-5.1

Get-Eventlogの使い方から覚えていくPowershellの基本的な使い方
https://qiita.com/Anubis_369/items/d0566143a1356a2f8ec5

イベント ID	説明
4698	スケジュールされたタスクの作成
1102	イベントログの消去
4624	ログインの成功
4625	ログインの失敗
4768	Kerberos 認証（TGT 要求）
4769	Kerberos 認証（ST 要求）
4776	NTLM 認証
4672	特権の割り当て