システムアカウントの検出
現在のログインシステムのセッションをクエリする
query user
ユーザーをセッションからログオフする
logoff ID
lusrmgr.msc を開き、新しい / 疑わしいアカウントがあるかどうかを確認する
ネットワーク接続を確認する
すべての TCP、UDP ポート接続とそれに対応する PID を表示する
netstat -ano
ルーティングテーブルを表示する
route print
ネットワークプロキシの設定を確認する
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
プロセスをチェックする
すべてのプロセスをリストアップする
tasklist
特定のプロセスを強制終了する
taskkill /T /F /PID
起動項目をチェックする
システムの起動時間を表示する
net statistics workstation
システムのスケジュールされたタスクを表示する
schtasks /query /fo LIST /v
プログラムの起動情報を表示する
wmic startup get command,caption
ホストのサービス情報を表示する
wmic service list brief
IP アドレス、サブネットマスク、デフォルトゲートウェイなどのネットワーク構成情報
ipconfig
オペレーティングシステムのバージョン、インストール日、ハードウェア情報などのシステム情報
systeminfo
レジストリエディタを開き、システムレジストリを検索および変更するために使用する
regedit
ネットワーク設定、ユーザーアカウント、共有リソースの表示と設定に使用する
net
Windows サービスの表示と設定に使用する
sc
システムファイルのスキャンと修復
sfc /scannow
ハードディスクのエラーのスキャンと修復
chkdsk
システム構成ユーティリティを開き、起動項目とサービスを設定する
msconfig
システムログ監査
実行ボックスに eventvwr.msc と入力してイベントビューアを開く
システムログ
オペレーティングシステムコンポーネントが生成するイベントを記録し、ドライバープログラム、システムコンポーネント、アプリケーションソフトウェアのクラッシュ、データの損失などを主に記録します。システムログに記録されるイベントのタイプは、Windows NT/2000 オペレーティングシステムによって事前に定義されます。デフォルトの場所:% SystemRoot% System32WinevtLogsSystem.evtx
アプリケーションログ
アプリケーションまたはシステムプログラムが記録するイベントを含み、プログラムの実行に関連するイベントを主に記録します。たとえば、データベースプログラムは、アプリケーションログにファイルエラーを記録することができ、プログラム開発者は監視するイベントを自分で決定することができます。特定のアプリケーションがクラッシュした場合、プログラムイベントログから該当するレコードを見つけることができ、問題の解決に役立つかもしれません。デフォルトの場所:% SystemRoot% System32WinevtLogsApplication.evtx
セキュリティログ
システムのセキュリティ監査イベントを記録し、さまざまなタイプのログインログ、オブジェクトアクセスログ、プロセストラッキングログ、特権の使用、アカウント管理、ポリシーの変更、システムイベントを含みます。セキュリティログは、調査と証拠収集において最もよく使用されるログです。デフォルトの設定では、セキュリティログは無効になっていますが、管理者はグループポリシーを使用してセキュリティログを有効にするか、レジストリで監査ポリシーを設定して、セキュリティログが一杯になった後にシステムが応答しないようにすることができます。デフォルトの場所:% SystemRoot% System32WinevtLogsSecurity.evtx