ファイルアクセス監査

ファイルアクセス関係のイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。

イベントID= 560(ファイルオープン)

種類、ファイル名、ハンドルID、プロセスID、ユーザー名、ドメイン名、操作内容

イベントID= 567(ファイルアクセス)

ハンドルID、種類、プロセスID、操作内容

イベントID= 564(ファイル削除)

ハンドルID、プロセスID

イベントID= 562(ファイルクローズ)

ハンドルID、プロセスID

ファイルアクセスの監査を行う場合、イベントID 567(ファイルアクセス)、564(ファイル削除)からスタートします。イベントID 567(ファイルアクセス)には ハンドルID、プロセスID、操作内容が記録されます。ハンドルID、プロセスIDが一致するイベントID 560(ファイルオープン)を探し、ファイル名、ユーザー名、ドメイン名を対応づけします。また、イベントID 560(ファイルオープン)とログオンIDが一致する イベントID 540,528(ログオン)を探し、ログオン時間を対応づけします。対応づけが完了したら、どのファイルに、いつ、どのユーザーが、どのようなアクセスをしたかがわかります。

操作内容には 以下の値がはいります。

値= DELETE

オブジェクトの削除

値= READ_CONTROL

オブジェクトのセキュリティ情報の読取り

値= WRITE_DAC

オブジェクトのアクセス権の変更

値= WRITE_OWNER

オブジェクトの所有者の変更

値= SYNCHRONIZE

オブジェクトを使った同期処理

値= ReadData(または ListDirectory)

フォルダ・ファイルの読取り

値= WriteData(または AddFile)

フォルダへのファイル操作、ファイルへの書込み

値= AppendData(または AddSubDirectory または CreatePipeInstance)

データの追加、フォルダの作成

値= ReadEA

拡張属性の読取り

値= WriteEA

拡張属性の書込み

値= 実行/スキャン

フォルダのスキャン、ファイルの実行

値= DeleteChild

フォルダとフォルダ内のファイル削除

値= ReadAttributes

属性の読取り

値= WriteAttributes

属性の書込み

イベントID 564(ファイル削除)には ハンドルID、プロセスIDが記録されます。操作内容は イベントIDがファイル削除をあらわすので、説明欄には記録されません。イベントID 567(ファイルアクセス)と同様に、イベントID 560(ファイルオープン)、イベントID 540,528(ログオン)を探し、対応づけします。

Windows Vista以降の ファイル監査

Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID= 4656

ファイルオープン

イベントID= 4663

ファイルアクセス

イベントID= 4690

ファイルコピー

イベントID= 4660

ファイル削除

イベントID= 4658

ファイルクローズ



風水吉凶方位 風水吉凶方位 |  奇門遁甲 奇門遁甲 |  金運神社 金運神社 |  仏像 仏像 |  論語 論語 |  般若心経 般若心経 |  二十四節気 二十四節気 |  菜根譚 菜根譚 |  SharePoint活用 SharePoint |  OneNote活用 OneNote |  ICT活用 ICT