アカウントのパスワード変更を、イベントビューアーで追う

いつ、アカウントのパスワードが変更されたのか、イベントビューアーで追いました。

windows 2008 R2 の、イベントビューアーで、セキュリティーを開くと、セキュリティや、監査のイベントが閲覧できます。イベントの詳細は、を参照してください。パスワード変更は、ID:4723 が発生していそうです。

調べてみる

順序は前後していましたが、同時刻で、以下が発生していました。

キーワード：成功の監査
イベント ID：4723
タスクのカテゴリ：ユーザー アカウント管理

アカウントのパスワードの変更が試行されました。

サブジェクト:
	セキュリティ ID:		xxxxxx\administrator
	アカウント名:		Administrator
	アカウント ドメイン:		xxxxxx
	ログオン ID:		0x10da34c9

ターゲット アカウント:
	セキュリティ ID:		xxxxxx\administrator
	アカウント名:		Administrator
	アカウント ドメイン:		xxxxxx

追加情報:
	特権		-

キーワード：成功の監査
イベント ID：4738
タスクのカテゴリ：ユーザー アカウント管理

ユーザー アカウントが変更されました。

サブジェクト:
	セキュリティ ID:		ANONYMOUS LOGON
	アカウント名:		ANONYMOUS LOGON
	アカウント ドメイン:		NT AUTHORITY
	ログオン ID:		0x3e6

ターゲット アカウント:
	セキュリティ ID:		xxxxxx\administrator
	アカウント名:		Administrator
	アカウント ドメイン:		xxxxxx

変更された属性:
	SAM アカウント名:	-
	表示名:		-
	ユーザー プリンシパル名:	-
	ホーム ディレクトリ:		-
	ホーム ドライブ:		-
	スクリプトのパス:		-
	プロファイル パス:		-
	ユーザー ワークステーション:	-
	最後に設定されたパスワード:	YYYY/MM/DD h:mm:ss
	アカウント有効期限終了日:		-
	プライマリ グループ ID:	-
	許可された委任先:	-
	旧 UAC の値:		-
	新 UAC の値:		-
	ユーザー アカウント制御:	-
	ユーザー パラメーター:	-
	SID の履歴:		-
	ログオン時間:		-

追加情報:
	特権:		-