- PR -

Windows2003Serverのファイル監査について

1
投稿者投稿内容
hideki2003
会議室デビュー日: 2005/05/17
投稿数: 5
投稿日時: 2007-09-01 11:39
現在WindowsのEventLOG(セキュリティー)を使用してファイルの監査
を行う仕組みを検討しています。

そこで不明箇所があります。

その内容は、Server(PC)に直にログインして監査対象のディレクトリー
内ファイルに参照・書き込み・削除の操作を行った場合はEvent567より
処理内容の追跡が可能ですが、この監査対象のディレクトリーを「共有」
ディレクトリーとしてClient(PC)よりファイルに参照・書き込み
・削除を行った場合Event567が発生しません。

この違いがあって監査対象のファイルの処理内容の追跡が出来ない状況に
あります。

この違いについて、ご教授願います。
hideki2003
会議室デビュー日: 2005/05/17
投稿数: 5
投稿日時: 2007-09-01 12:56
質問の補足説明ですが
下記の資料で、ネットワーク共有されたファイルの変更とローカル
ファイルの変更ともEventID:567から操作内容の調査を開始する手順ですが
このEvent567がローカル時の変更では発生するがネットワーク共有時では発生
しない、この違いです。

ファイルサーバー上のファイル操作における監査 (PDF 形式, 1.6MB)
http://download.microsoft.com/download/A/5/8/A58AF361-D829-4EB6-B248-D552696AD81D/logauditfile.pdf
kenyoroi
会議室デビュー日: 2008/06/17
投稿数: 2
投稿日時: 2008-06-17 13:53
Windows2003ServerR2ですが、当方も全く同じ問題で悩んでおります。
クライアント側からのネットワーク共有ファイルの操作では、
Event560、Event564(削除)は発生しますがEvent567が発生しません。

どうか、ご教授のほどお願いします。
TeT
会議室デビュー日: 2008/06/13
投稿数: 3
投稿日時: 2008-06-17 22:44
こんにちわ。

監査ガイドは見てないのですが、
「サーバー管理者のためのイベントログ運用の基本」
http://www.atmarkit.co.jp/fwin2k/bookpreview/eventlog_index/eventlog_index.html
にもローカルでは出力されるものの、共有経由だと
567が出力されない・イメージファイル名が出力されない、と記載されています。
(仕様上の記載ではなく、動作確認結果として)

Microsoftパートナーであれば、ニュースグループで確認されてはいかがですか?
kenyoroi
会議室デビュー日: 2008/06/17
投稿数: 2
投稿日時: 2008-06-25 11:49
念のため、監査エントリに「Everyone」の他に、ファイルサーバーのユーザを登録したところ、Event567が出力されました。なんとなく解せませんが解決しました。

お世話になりました。
1

スキルアップ/キャリアアップ(JOB@IT)