イベントログファイル監査

ここでは、ファイルサーバーなどのファイルアクセスを監査する方法を説明します。ファイルアクセス関連のイベントログは、以下の順に発生します。
1) ログオン
2) ファイルオープン
3) ファイルアクセス
4) ファイルクローズ
5) ログオフ

ログオン／ログオフについてはログオン/ログオフ監査の記事を参照してください。

ファイルアクセス監査

ファイルアクセス関係のイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。

イベントID= 560（ファイルオープン）: 種類、ファイル名、ハンドルID、プロセスID、ユーザー名、ドメイン名、操作内容
イベントID= 567（ファイルアクセス）: ハンドルID、種類、プロセスID、操作内容
イベントID= 564（ファイル削除）: ハンドルID、プロセスID
イベントID= 562（ファイルクローズ）: ハンドルID、プロセスID

ファイルアクセスの監査を行う場合、イベントID 567(ファイルアクセス)、564(ファイル削除)からスタートします。イベントID 567(ファイルアクセス)にはハンドルID、プロセスID、操作内容が記録されます。ハンドルID、プロセスIDが一致するイベントID 560（ファイルオープン）を探し、ファイル名、ユーザー名、ドメイン名を対応づけします。また、イベントID 560（ファイルオープン）とログオンIDが一致するイベントID 540,528（ログオン）を探し、ログオン時間を対応づけします。対応づけが完了したら、どのファイルに、いつ、どのユーザーが、どのようなアクセスをしたかがわかります。

操作内容には以下の値がはいります。

値= DELETE: オブジェクトの削除
値= READ_CONTROL: オブジェクトのセキュリティ情報の読取り
値= WRITE_DAC: オブジェクトのアクセス権の変更
値= WRITE_OWNER: オブジェクトの所有者の変更
値= SYNCHRONIZE: オブジェクトを使った同期処理
値= ReadData(または ListDirectory): フォルダ・ファイルの読取り
値= WriteData(または AddFile): フォルダへのファイル操作、ファイルへの書込み
値= AppendData(または AddSubDirectory または CreatePipeInstance): データの追加、フォルダの作成
値= ReadEA: 拡張属性の読取り
値= WriteEA: 拡張属性の書込み
値= 実行/スキャン: フォルダのスキャン、ファイルの実行
値= DeleteChild: フォルダとフォルダ内のファイル削除
値= ReadAttributes: 属性の読取り
値= WriteAttributes: 属性の書込み

イベントID 564(ファイル削除)にはハンドルID、プロセスIDが記録されます。操作内容はイベントIDがファイル削除をあらわすので、説明欄には記録されません。イベントID 567(ファイルアクセス)と同様に、イベントID 560（ファイルオープン）、イベントID 540,528（ログオン）を探し、対応づけします。