Product Documentation
Abstract
Windows イベント ID 4625 は 1 つの QID にマップされますが、構文解析され、固有の QID にマップされる可能性のあるサブステータスがあります。
Content
Windows イベント ID 4625 :このイベントは「アカウントがログオンに失敗した」イベントですが、原因は後述の「失敗の理由」で説明したようにさまざまなことが考えられます。12 件の考えられる失敗の理由を Windows Security Log Event ID 4625 から転記しました。
ログオンに失敗したアカウント:
これは、ログオンしようとして失敗したユーザーを識別します。
- セキュリティー ID: ログオンしようとしたアカウントの SID。 指定されたユーザー名が有効なアカウント・ログオン名に対応していないなど、有効なアカウントが識別されなかった場合は、ブランクまたは NULL SID と識別されます。
- アカウント名:ログオン試行で指定されたアカウントログオン名。
- アカウント・ドメイン: ドメイン、またはローカル・アカウントの場合 - コンピューター名。
失敗に関する情報:
このセクションでは、ログオンが失敗した理由について説明します。
- 失敗の理由: ログオン失敗のテキストでの解釈。
- ステータスとサブステータス:ログオン失敗の理由を説明する 16 進数コード。 サブステータスが記入される場合と記入されない場合があります。以下は私たちが観察したコードです。
ステータスおよびサブステータスコードの説明(「失敗の理由:」とは照合していません )
0xC0000064 ユーザー名が存在しない
0xC000006A ユーザー名は正しいが、パスワードが間違っている
0xC0000234 ユーザーは現在ロックアウトされている
0xC0000072 アカウントは現在無効である
0xC000006F ユーザーが、制限された曜日または時刻の範囲外でログオンしようとした
0xC0000070 ワークステーションの制約事項、または認証ポリシーサイロの違反 ( ドメイン・コントローラーでイベント ID 4820 を探す )
0xC0000193 アカウントの有効期限切れ
0xC0000071 パスワードの有効期限切れ
0xC0000133 DC と他のコンピューター間の時刻が長期間同期されていない状態
0xC0000224 ユーザーは次回のログオン時にパスワード変更の必要がある
0xC0000225 リスクではなく、明確な Windows のバグである
0xc000015b このマシンで要求されたログオンのタイプ ( ログオンの権限 ) がユーザーに付与されていない
解決策 :
* Fix Central 上の最新版 Microsoft Windows DSM がインストールされていることを確認してください。
** 新しいパラメーターで Windows イベント ID 4625 のサブステータスの解析を有効にします。
- /opt/qradar/conf ディレクトリーに、WindowsAuthServer.properties という名前のファイルを作成します。
- 新しく作成されたプロパティーファイルに、下記パラメーター名と値を挿入します。
enableAdditionalParsingFailedLogOn=true
- WindowsAuthServer.properties にパラメーター値が追加または更新された後は、必ず systemctl restart ecs-ec コマンドを実行する必要があります。
- ペイロードイベントは、「失敗の監査:アカウントがログオンに失敗した:アカウントが無効」、または「アカウントがログオンに失敗した:ユーザー名が存在しない」というように解析されます。
Related Information
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Was this topic helpful?
Document Information
Modified date:
30 October 2019
UID
ibm11099179