イベントログ ファイル監査
ここでは、ファイルサーバーなどのファイルアクセスを監査する方法を説明します。ファイルアクセス関連のイベントログは、以下の順に発生します。
1) ログオン
2) ファイルオープン
3) ファイルアクセス
4) ファイルクローズ
5) ログオフ
ログオン/ログオフについては ログオン/ログオフ監査の記事を参照してください。
ファイルアクセス関係のイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
種類、ファイル名、ハンドルID、プロセスID、ユーザー名、ドメイン名、操作内容
ハンドルID、種類、プロセスID、操作内容
ハンドルID、プロセスID
ハンドルID、プロセスID
ファイルアクセスの監査を行う場合、イベントID 567(ファイルアクセス)、564(ファイル削除)からスタートします。イベントID 567(ファイルアクセス)には ハンドルID、プロセスID、操作内容が記録されます。ハンドルID、プロセスIDが一致するイベントID 560(ファイルオープン)を探し、ファイル名、ユーザー名、ドメイン名を対応づけします。また、イベントID 560(ファイルオープン)とログオンIDが一致する イベントID 540,528(ログオン)を探し、ログオン時間を対応づけします。対応づけが完了したら、どのファイルに、いつ、どのユーザーが、どのようなアクセスをしたかがわかります。
操作内容には 以下の値がはいります。
オブジェクトの削除
オブジェクトのセキュリティ情報の読取り
オブジェクトのアクセス権の変更
オブジェクトの所有者の変更
オブジェクトを使った同期処理
フォルダ・ファイルの読取り
フォルダへのファイル操作、ファイルへの書込み
データの追加、フォルダの作成
拡張属性の読取り
拡張属性の書込み
フォルダのスキャン、ファイルの実行
フォルダとフォルダ内のファイル削除
属性の読取り
属性の書込み
イベントID 564(ファイル削除)には ハンドルID、プロセスIDが記録されます。操作内容は イベントIDがファイル削除をあらわすので、説明欄には記録されません。イベントID 567(ファイルアクセス)と同様に、イベントID 560(ファイルオープン)、イベントID 540,528(ログオン)を探し、対応づけします。