Issue:
Elements ポータルの [イベント] > [セキュリティ イベント]ページから転送された Windows システム イベントを確認すると、 [詳細]ドロップダウンに表示される報告されたユーザー名が、 [イベント XML: XML のダウンロード]リンクを使用してダウンロードしたファイルで報告されたもの、または Windows イベント ビューアーからローカルで確認したシステム イベント自体と一致しません。
たとえば、イベント ID: 4625「アカウントがログオンに失敗しました」イベントでは、ユーザー名とプリンシパル ユーザー名が、ログオンに失敗した実際のアカウントと一致しません。検出の詳細に間違ったユーザー名がリストされるのはなぜですか?
同じ問題が発生するその他のイベント ID:
- ユーザー アカウントがロックアウトされました。イベント ID: 4740、イベント ソース: Microsoft-Windows-Security-Auditing 。
Resolution:
セキュリティ アラートの詳細セクションのユーザー名とプリンシパル ユーザー名は、アラートの影響を受けるユーザーを参照するものではなく、最後に正常にログインしたユーザーのポータルのデバイス詳細ページから取得された情報です。
このシステム イベントの実際のユーザーの詳細を表示するには、 [イベント XML : XML のダウンロード]リンクをクリックする必要があります。
Article no: 000042747
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.