- PR -

イベントログの重複

«前のページへ 1|2
投稿者投稿内容
ともこ
大ベテラン
会議室デビュー日: 2007/09/14
投稿数: 111
投稿日時: 2008-01-07 19:11
チャブーンさん、コメントありがとうございます。

今回の監査設定は教えていただいた資料を元に行っていたのに、「300MB以上はムリ」と記載されていたのには気付きませんでした。
ありがとうございます!

ゆうじゅんさん、コメントありがとうございます。
イベントログには下記のように表示されます。

■ファイルのオープン(アクセス)
 ・イベントID:560
 ・オブジェクト名:D:\○○\△△\TEST.xls
 ・ハンドルID:1351 ・・・ 削除イベントとのつながりを示すID
 ・イメージファイル名:(空欄)

■ファイルの削除
 ・イベントID:567
 ・ハンドルID:1351 ・・・ ファイルアクセスイベントとのつながりを示すID
 ・アクセス数:DELETE
 ・イメージファイル名:(空欄)

そのため、イメージファイル名は利用できません。
一番理想は、イベントID:567のみログが残り、かつオブジェクト名にファイル名が表示されることです。
やはりEventQueryを定期的に実行し、ログを書き出すしかないと思います。
  
redforza
会議室デビュー日: 2008/01/09
投稿数: 1
投稿日時: 2008-01-09 01:31
的を外していたらすみませんが、私はイベントログをレジストリの「AutoBackupLogFiles」を有効化にして保存してます
http://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch05n.mspx
http://support.microsoft.com/kb/312571/ja
ログファイルが大きすぎると保存できない場合があるようなので
イベントビューワのセキュリティ「プロパティ」
最大ログサイズを「34944KB」
ログサイズが最大値に達したときの操作「イベントを上書きする(V)」
の設定で保存してます。
イベントビューワで使用されるmmc.exeは使用できるメモリ上限が確か1GBだった記憶がありますので、ログサイズが大きすぎると処理できなくなるかと・・・
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)