お世話になります。 現在、 現行のシステムが Windows2008ServerからWindows2012Serverに移行するにあたり、 セキュリティログのイベントコードの確認を行なっております。 移行するシステムの監査機能では Windows2008Serverにて、ログオン(4624)、ログオフ(4634)、ログオフの開始(4647) のイベントコードを抽出していたため、 Windows2012Serverでも、同様のことを行おうとしております。 Windows2012ServerのイベントコードをWebにて調べると、 ログオン(4624)、ログオフ(4634)はそのままのイベントコードであるということがわかりました。 ただ、『ログオフの開始』については確認がとれなかったため、 Windows2012Serverのセキュリティログにて、「ログオフの開始」にあたるイベントコードが何であるのか、参考になる資料、Webサイトなど教示いただけないでしょうか。 Windows2012Serverの実機を操作できる環境がないため、質問いたします。
同じような質問を別の方でお見かけしましたが、こちらの内容でよいでしょうか?
イベントID としては、4647 になります。
なお、リモートデスクトップなどで、切断のみだと 4634 のみ記録され、サインアウトすると 4647 も記録されるという
のが私の理解です。
ちなみに、日本語サイトは無いようです。
https://social.technet.microsoft.com/Forums/ja-JP/d34db1ca-ecd3-4619-a009-c4d33678c522/windowsserver2012id?forum=winserver8#cd088385-cc6a-43db-baa5-eb3ed2e09a06
質問の細かい内容はよくわかりませんが、Windows Server 2012のSecurity Event IDの一覧でしたら、下記からダウンロードできるExcelファイルに記載されていると思います。
Windows 8 and Windows Server 2012 Security Event Details http://www.microsoft.com/en-us/download/details.aspx?id=35753
TechNet Community Support 佐伯 玲
