システムアカウントの検出
現在のログインシステムのセッションをクエリする
query user
ユーザーをセッションからログオフする
logoff ID
lusrmgr.msc を開き、新しい / 疑わしいアカウントがあるかどうかを確認する
ネットワーク接続を表示する
すべての TCP、UDP ポート接続とそれに対応する PID を表示する
netstat -ano
ルーティングテーブルを印刷する
route print
ネットワークプロキシの設定を確認する
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
プロセスをチェックする
すべてのプロセスをリストアップする
tasklist
特定のプロセスを強制終了する
taskkill /T /F /PID
起動項目をチェックする
システムの起動時間を表示する
net statistics workstation
システムのスケジュールされたタスクを表示する
schtasks /query /fo LIST /v
プログラムの起動情報を表示する
wmic startup get command,caption
ホストのサービス情報を表示する
wmic service list brief
IP アドレス、サブネットマスク、デフォルトゲートウェイなどのネットワーク構成情報
ipconfig
オペレーティングシステムのバージョン、インストール日、ハードウェア情報などのシステム情報
systeminfo
レジストリエディタを開き、システムレジストリを検索および変更するために使用する
regedit
ネットワーク設定、ユーザーアカウント、共有リソースの表示および設定に使用する
net
Windows サービスの表示および設定に使用する
sc
システムファイルのスキャンと修復
sfc /scannow
ディスクエラーのスキャンと修復
chkdsk
システム構成ユーティリティを開き、起動項目とサービスを設定するために使用する
msconfig
システムログの監査
実行ボックスに eventvwr.msc と入力してイベントビューアを開く
システムログ
オペレーティングシステムコンポーネントが生成するイベントを記録し、ドライバープログラム、システムコンポーネント、アプリケーションソフトウェアのクラッシュ、データの損失などを含む。システムログには、Windows NT/2000 オペレーティングシステムによって事前に定義された時間の種類が記録されます。デフォルトの場所:% SystemRoot% System32WinevtLogsSystem.evtx
アプリケーションログ
アプリケーションまたはシステムプログラムが記録するイベントを含み、プログラムの実行に関連するイベントを主に記録します。たとえば、データベースプログラムは、アプリケーションログにファイルエラーを記録することができます。プログラム開発者は、どのイベントを監視するかを自分で決定することができます。特定のアプリケーションがクラッシュした場合、プログラムイベントログから該当するレコードを見つけることができ、問題の解決に役立つかもしれません。デフォルトの場所:% SystemRoot% System32WinevtLogsApplication.evtx
セキュリティログ
システムのセキュリティ監査イベントを記録し、ログインログ、オブジェクトアクセスログ、プロセストラッキングログ、特権の使用、アカウント管理、ポリシーの変更、システムイベントなど、さまざまなタイプのイベントを含みます。セキュリティログは、調査および証拠収集において最もよく使用されるログです。デフォルトの設定では、セキュリティログは無効になっていますが、管理者はグループポリシーを使用してセキュリティログを有効にするか、レジストリで監査ポリシーを設定してセキュリティログがいっぱいになった後にシステムが応答しないようにすることができます。デフォルトの場所:% SystemRoot% System32WinevtLogsSecurity.evtx