LogonTracerが分析するイベントログは、デフォルト設定では記録されないものがあります。監査ポリシーを有効にすることで、このようなイベントログを記録することができます。監査ポリシーは、ローカルグループポリシーエディタ(gpedit.msc)から変更できます。
ローカル コンピューター ポリシー > Windowsの設定 > セキュリティの設定 > 監査ポリシーの詳細な構成 > システム監査ポリシー - ローカルグループポリシーオブジェクト
以下の項目を有効にすることで、必要なイベントIDが記録されます。
- アカウントログオン
- 資格情報の確認の監査
- Kerberos 認証サービスの監査
- Kerberos サービスチケット操作の監査
- ログオン/ログオフ
- ログオンの監査
- 特殊なログオンの監査
