🔹 イベントIDでイベントをフィルタリング
イベントIDのフィルター指定方法
| 指定する内容 |
入力例 |
説明 |
| 複数のID |
4624, 4625, 4648 |
カンマ(,)で区切ります。 |
| IDの範囲 |
100-200 |
ハイフン(-)で範囲を指定します。 |
| 組み合わせ |
1, 5, 100-200 |
カンマとハイフンを混ぜて使えます。 |
| 特定IDを除外 |
-1102 |
マイナス(-)を先頭に付けるとそのIDが除外されます。 |
🔹サービスとレジストリ関連の一部例
サービス関連イベント
🧩 サービスの起動・停止・異常
■ 7000~7009(起動失敗系)
| ID |
内容 |
実務的な意味・原因 |
| 7000 |
サービスを開始できなかった |
実行ファイル消失、依存関係未起動、権限不足 |
| 7001 |
依存サービスが起動していない |
依存関係の設定ミス・別サービスの障害 |
| 7009 |
起動タイムアウト |
初期化が遅い、デッドロック、I/O待ち |
■ 7011~7024(応答・構成エラー)
| ID |
内容 |
補足 |
| 7011 |
サービスが制御要求に応答しない |
ハング・無限ループの可能性 |
| 7022 |
サービスが起動信号を返さない |
プログラム不良・初期化失敗 |
| 7023 |
サービスがエラーを返して停止 |
戻り値あり(ログ本文が重要) |
| 7024 |
サービス固有のエラー |
独自エラーコードが記録される |
■ 7031~7036(状態変化)
| ID |
内容 |
実務での使いどころ |
| 7031 |
サービスが異常終了 |
クラッシュ・強制終了 |
| 7032 |
サービスの復旧動作を実行 |
再起動・コマンド実行など |
| 7034 |
予期せずサービスが停止 |
7031より簡易版 |
| 7035 |
サービス制御要求を受信 |
起動/停止が要求された |
| 7036 |
サービス状態が変更 |
「実行中」「停止」など |
■ 7040~7045(構成変更・追加)
| ID |
内容 |
セキュリティ的な重要度 |
| 7040 |
サービスの起動種類が変更 |
自動⇄手動(マルウェア検知で重要) |
| 7043 |
サービスアカウント変更 |
権限昇格の痕跡になる |
| 7045 |
新しいサービスがインストール |
最重要(常駐化の典型) |
📌 7045 はマルウェア調査・侵入検知で必須
🧩 レジストリアクセス監査(Security)
※ 「オブジェクト アクセスの監査」有効時のみ
■ 4656 / 4663(アクセス)
| ID |
内容 |
実務的意味 |
| 4656 |
レジストリキーへのアクセス試行 |
ハンドル取得 |
| 4663 |
レジストリ値が変更された |
実際の書き込み発生 |
📌 Runキー/Servicesキーの変更検出に使う
■ 4670(権限変更)
| ID |
内容 |
危険度 |
| 4670 |
レジストリのアクセス許可が変更 |
高(永続化・隠蔽) |
🧩 システム内部のレジストリエラー(System)
■ Kernel-General / Kernel-Registry
| ID |
ソース |
内容 |
| 13 |
Kernel-General |
レジストリ設定の読み込み |
| 15 |
Kernel-General |
レジストリ設定の書き込み |
| 16 |
Kernel-General |
レジストリの破損検出 |
| 11 |
Kernel-Registry |
レジストリ ハイブ読み込み失敗 |
