Windows Server 2019へのログイン時 イベントID:4624(ログオン成功)が2回出力されるそうです。あんまりログオンの試行回数を考えたことがなかったので、参考になりました。
情報元はこちら。
Windows Server 2019 へのログイン時に、イベントID:4624(ログオン成功)が2回出力されます。
2つのイベントは、TargetLogonId が異なるものですが、TargetLinkedLogonId で相互にリンクされているように見えます。
このイベントログの出力は正常な動作でしょうか、そえとも設定ミスが考えられるものでしょうか。
続いて回答内容です。
この件ですが、Windowsセキュリティログでは、ユーザーログオンは単に1対1対応になっていません。OSの内部挙動で必要な認証処理があり、それらもログにきちんと記録されます。したがってこの動作は仕様とみなしてよいでしょう。
これを無理やり変えることは不可能ですので、ログの検索抽出条件を整理し、必要なログだけをみられるようすることが、普通は行われます。具体的な状況について、以下のページが参考になるでしょう。
そして、参考サイトです。英語を機械翻訳しています。
Solved: best practice multiple eventID 4624 for one logon - Splunk Community
私の環境では、これを行うことができました:
index=wineventlog source=WinEventLog:Security EventID=4624 LogonGuid!="{00000000-0000-0000-0000-000000000000}" TargetUserName!=*$
| table _time, TargetUserName, TargetDomainName, Computer
基本検索で注目すべき項目は:
- LogonGuid-これはそれだけで通常の認証活動したすべてゼロではなく、ログオンように見えた
-TargetUserNameなしで私の環境のすべてのエンドユーザーで- $(これらはシステム接続されています)
したがって、表にはアクティビティのリストが表示されますが、カウントが必要な場合は、使用しstatsたりtimechart、時間の経過に伴うパターンを確認したりできます。
index=wineventlog source=WinEventLog:Security EventID=4624 LogonGuid!="{00000000-0000-0000-0000-000000000000}" TargetUserName!=*$
| stats count by TargetUserName, Computer
または
index=wineventlog source=WinEventLog:Security EventID=4624 LogonGuid!="{00000000-0000-0000-0000-000000000000}" TargetUserName!=*$
| timechart count by TargetUserName
うまくいけば、Windowsの専門家は、重複を避けるために結果をフィルタリングする方法についてより良い洞察を得るでしょうが、これはあなたの仕事を始めるのに良いはずです。