パソコンの使用履歴・ログを確認する方法【不正アクセス調査・Windows10/11対応】

セキュリティ・プライバシー
2024.08.07

「誰かに自分のパソコンを使われた気がする」と感じたことはありませんか?そんなときはイベントログを使えば、パソコンの使用履歴を自分で確認することができます。専門的な知識は不要で、Windowsに標準搭載されている機能だけで調査できます。

パソコンの使用履歴を調べるメリット

使用履歴の確認方法を知っておくとさまざまな場面で役に立ちます。

・プライベートのパソコンに不正アクセスがなかったか確認する
・職場のパソコンが就業時間外に使われていないか確認する
・残業の証拠として使用時刻の記録を取る
・社内の機密情報が休日などに閲覧されていないか調査する

特別なソフトは必要なく、Windowsの「イベントビューアー」という標準機能だけで確認できます。

パソコンの使用履歴を調べる方法(イベントビューアー)

パソコンの使用履歴は「イベントログ」に記録されています。このログを「イベントビューアー」で確認します。Windows 10・11どちらでも同じ手順で操作できます。

1. タスクバーの「Windowsアイコン」を右クリックします。

2. メニューから「イベントビューアー」を選択します。

3. 画面左にある「Windowsログ」をクリックして「システム」を選択します。

これでシステムのイベントログを表示できました。イベントログとはWindowsで発生したイベント(電源操作・ログイン・エラーなど)の記録です。

このままでは大量のログが表示されていて見にくいため、「イベントID」を使って目的のログだけを抽出します。

4. 画面右側の「現在のログをフィルター」をクリックします。

表示されたフィルター画面の「<すべてのイベントID>」の部分に調べたいイベントIDを入力してOKをクリックすることで、目的のログだけを抽出できます。

主要なイベントIDの一覧

よく使うイベントIDを以下にまとめます。調べたい内容に合わせて使い分けてください。

6005:電源が投入された(システム起動)
6006:正常にシャットダウンされた
6008:異常終了した(強制シャットダウン・突然の電源断)
7001:アカウントにログインした
7002:アカウントからログオフした
4625:ログオンに失敗した(不正アクセス調査で最重要)

電源の投入・シャットダウン履歴を調べる(ID:6005/6006/6008)

パソコンがいつ電源を入れられ、いつ切られたかを確認します。異常終了(ID:6008)も確認することで、強制シャットダウンや急な電源断がなかったかも調べられます。

フィルター画面の「<すべてのイベントID>」に「6005-6006」と入力してOKをクリックします。

電源の投入と切断を示すログだけが抽出されました。

この例を解析すると:
・2024/8/6 16:40 → 電源が投入された(ID:6005)
・2024/8/2 18:45 → 電源が切れた(ID:6006)

自分がパソコンを使っていない時間帯に電源操作が記録されていれば、誰かが使用した可能性があります。異常終了(ID:6008)を含めたい場合は「6005-6008」と入力して抽出してください。

アカウントへのログイン・ログオフ履歴を調べる(ID:7001/7002)

パスワードを入力してアカウントにログインした時刻・ログオフした時刻を調べます。

「現在のログをフィルター」をクリックし、「<すべてのイベントID>」に「7001-7002」と入力してOKをクリックします。

ログイン・ログオフのログだけが抽出されました。

この例を解析すると:
・2024/8/6 16:40 → アカウントにログインした(ID:7001)
・2024/8/2 18:45 → アカウントからログオフした(ID:7002)

不正ログインの痕跡を調べる(ID:4625)

不正アクセスの調査で特に重要なのが、ログオン失敗を示すID:4625です。パスワードを何度も間違えてログインしようとした記録が残るため、外部からの不正ログイン試行を確認できます。

「現在のログをフィルター」から「<すべてのイベントID>」に「4625」と入力してフィルタリングします。

短時間に何度もID:4625が記録されている場合は、パスワードを総当たりで試みる「ブルートフォース攻撃」の可能性があります。心当たりがない場合はパスワードの変更を検討してください。なお、このイベントIDはWindowsログの「セキュリティ」に記録されるため、「システム」ではなく「セキュリティ」を選択して確認してください。

まとめ

イベントビューアーを使えば、パソコンの使用履歴を自分で確認することができます。以下のイベントIDを覚えておくと便利です。

6005:電源投入(システム起動)
6006:正常シャットダウン
6008:異常終了・強制シャットダウン
7001:アカウントログイン
7002:アカウントログオフ
4625:ログオン失敗(不正アクセス調査に重要)

不審な使用履歴を見つけたときは、パスワードを変更し、必要に応じて専門家に相談することをおすすめします。

よくある質問

使用履歴を確認するために特別なソフトは必要ですか?

いいえ、Windowsに標準搭載されている「イベントビューアー」だけで確認できます。追加ソフトのインストールは一切不要で、Windows 10・11どちらでも同じ手順で操作できます。

パソコンのログイン履歴はどのくらいの期間保存されますか?

ログの保存期間はWindowsの設定によって異なりますが、通常は数週間〜数ヶ月程度保存されます。ログファイルのサイズ上限に達すると古いものから上書きされます。長期間の履歴を保存したい場合はログの最大サイズを増やす設定が必要です。

イベントログを削除・消去することはできますか?

はい、イベントビューアーのログを右クリックして「ログの消去」を実行することで削除できます。ただし削除するとそれ以前の使用履歴は復元できなくなりますので、証拠として保存が必要な場合は先にエクスポートしておきましょう。

コメント