none
windows eventlog ( 主にログオン・ログオフ ) における、 dwm-X ユーザーについて RRS feed

  • 質問

  • お世話になります。
    Windows Server 2012 R2 にて、イベントログを収集しています。

    その中で、 4624 ( ログオン ) , 4634  ( ログオフ ) のIDに着目して収集いるのですが、
    ユーザーIDが DWM-X ( X は 1,2,3~ ) のものがあり、こちらは DesktopWindowManager によるものだと
    認識しております。

    そのIDについては収集を除外しようと考えておりまして、DWM-X の X 部分について、最大いくつまで増えるのか
    ご教示頂けないでしょうか。

    除外定義としてユーザーIDが定義できる仕組みになっているのですが、いくつまで増やして定義しておけばよいか、
    明確な情報が欲しく。。。

    どうぞよろしくお願い致します。

    2017年7月17日 5:40

回答

  • DWM-X で除外するのではなく、
    アカウント ドメイン: の値が [ Window Manager ] のレコードは除外するようにして対処可能だったため
    追記します。

    なお、windows 10 でいつのアップデートからかわかっていませんが、
    アカウント ドメイン:  の値が [ Font Driver Host ] のレコードも同じように除外する必要がありました。

    ご参考まで。

    • 回答としてマーク supao 2019年9月16日 15:38
    2019年9月16日 15:38