この記事の信頼性:本記事は、Windows Serverを20年以上提供している「Winserver」のマーケティングチームおよび技術チームが執筆しています。実際に企業ユーザーから寄せられた設定相談やサポート事例に基づき、初心者にもわかりやすく解説しています。最終更新日:2025年7月17日
YouTube動画公開
イベントビューアーで不正アクセスを確認する手順を、紹介する動画を配信しました。
動画内では画像付きで見たまま簡単に操作ができます。
Windowsイベントログとは
Windowsイベントログとは、Windows OSが標準で備えているログ記録機能であり、システムやアプリケーションの動作状況、セキュリティ関連の履歴などを自動的に記録します。
記録される主な内容には、以下のようなものがあります:
- アプリケーションの起動・エラー情報
- システムの起動やシャットダウン履歴
- ユーザーのログオン・ログオフ履歴
- セキュリティ監査(例:ログオン失敗)
このように、Windowsイベントログにはサーバー運用やセキュリティ対策に役立つ重要な情報が多数含まれています。
本記事では、不審なログイン試行(ブルートフォース攻撃など)をイベントログから確認する方法について解説します。
不正アクセスをイベントログで確認する方法
Windows Server 環境で、不審なログイン履歴(失敗したログオン試行)を確認するには、イベントビューアーを使用します。
イベントビューアーの起動手順
- スタートメニューから「サーバーマネージャー」を起動します。
- 画面右上の「ツール」をクリックし、「イベントビューアー」を選択します。
※もしくは、スタートメニューから直接「イベントビューアー」と検索して起動することも可能です。
不審なログイン試行の確認方法
イベントビューアー(ローカル) > Windowsログ > セキュリティ を展開します。
画面中央の一覧から、イベントID 4625(ログオン失敗) のログを探します。
ログを選択すると、下部の「全般」タブに詳細が表示されます。
確認すべきポイント
以下の項目を重点的に確認してください:
- アカウント名:ログオンを試行したユーザー名
- ログオン失敗の理由:存在しないアカウント、パスワード間違いな
- 発生日時:利用ユーザーがログインした記憶の無い時間帯等、異常な時間帯の試行は要注意
- ソースネットワークアドレス:外部IPアドレスであれば不正アクセスの可能性あり
大量の「ログオン失敗(イベントID:4625)」が短時間で記録されている場合は、ブルートフォース攻撃(総当たり攻撃)などの不正アクセスが疑われ、早急な対処が必要です。
イベントログの保存方法
- すべてのイベントログを保存する場合
イベントビューアーの右側「操作」パネルから、 「システム」 > 「すべてのイベントを名前を付けて保存」を選択します。任意のファイル名と保存場所を指定し、ログファイル(.evtx形式)として保存します。 - 特定のイベントログを保存する場合
該当イベントを選択した状態で、右側の「操作」パネルから 「選択したイベントの保存…」を選びます。ローカルファイルとして保存し、後日、必要に応じて確認・共有が可能です。
まとめ
Windowsイベントログは、サーバーの正常性やセキュリティ状態を把握する上で欠かせない情報源です。
特に、**イベントID 4625(ログオン失敗)**のログを定期的に確認することで、不正アクセスの兆候を早期に察知できます。
運用中のサーバーにおいては、ログ確認の習慣化とともに、ログの保存・管理体制を整えておくことが重要です。
イベントビューアーで不正アクセスを確認する方法をぜひ動画でご確認ください。
ぜひ動画でご確認ください。(所要時間3分29秒)
\ なんでもご相談ください! /
オンライン個別相談会に申込む(無料)
この記事の執筆者について:
本記事は、Windows専門レンタルサーバーを20年以上提供する「Winserver(株式会社アシストアップ)」が運営する公式コラムです。
当社はMicrosoft SPLAパートナーとして、法人・個人を問わず多数の顧客に対し、Windows Server環境の導入・運用支援を行ってまいりました。
執筆・構成は、技術サポートとマーケティングチームが共同で担当。実際に社内導入やお客様からのフィードバックに基づいた情報をもとに執筆しています。
