- PR -

オブジェクトアクセス監査について

投稿者	投稿内容
さかさん会議室デビュー日: 2007/08/06 投稿数: 4	投稿日時: 2008-11-17 13:50 サーバ上の共有フォルダのある階層にフォルダ削除のオブジェクトアクセス監査を設定しています。ところがファイルの削除のログまでもが一部出力されてしまいます。（例えばフォルダに200個のファイルがあって、そのフォルダを削除すると、フォルダ削除ログに加えて5個の不要なファイル削除ログが出力される）ファイルの削除が監査されない様にするにはどうすれば良いのでしょうか？あるいは設定が間違っているのでしょうか？テスト環境で同じだと思われる設定を行ってみましたが、再現されませんでした。同じ現象にあわれた方等、お心当たりありましたらご教授頂ければ幸いです。 AD兼ファイルサーバ：Windows2000server　SP4 クライアント：WindowsXP 監査エントリは以下の様に設定しています。名前：Domain　Users 適用先：このフォルダとサブフォルダアクセス：削除（成功）「これらの監査エントリを、このコンテナの～」にはチェック入れず。一番上の階層に設定して子フォルダに継承しています。フォルダの削除ログでは、イベントID　560→564→562　とログが出力されている。一部出力されているファイル削除ログは、イベントID　560→562　とログが出力されている。実際のログを添付します。（編集箇所あり）－－－－－ファイル削除ログ－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 2008/11/12 15:04:42 Security 成功の監査オブジェクトアクセス 562 user computer "ハンドルのクローズ: オブジェクトサーバー: Security ハンドル ID: 2144 プロセス ID: 8 " 2008/11/12 15:04:42 Security 成功の監査オブジェクトアクセス 560 user computer "オブジェクトのオープン: オブジェクトサーバー: Security オブジェクトの種類: File オブジェクト名: E:\\\\作業中\\\\フォルダ1\\\\xxx.tif　　←←←監査設定していないはずのファイル新しいハンドル ID: 2144 操作 ID: {0,000000000} プロセス ID: 8 プライマリユーザー名: xxx プライマリドメイン: xxx プライマリログオン ID: (000000000) クライアントユーザー名: xxx クライアントドメイン: xxx クライアントログオン ID: (000000000) アクセス DELETE　　　　　　　　　　　←←←この辺があやしい？ READ_CONTROL WriteData (または AddFile) AppendData (または AddSubdirectory または CreatePipeInstance) WriteEA ReadAttributes WriteAttributes 特権 - －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－フォルダ削除ログ－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 2008/11/12 14:40:30 Security 成功の監査オブジェクトアクセス 562 user computer "ハンドルのクローズ: オブジェクトサーバー: Security ハンドル ID: 1500 プロセス ID: 8 " 2008/11/12 14:40:30 Security 成功の監査オブジェクトアクセス 564 user computer "削除されたオブジェクト: オブジェクトサーバー: Security ハンドル ID: 1500 プロセス ID: 8 " 2008/11/12 14:40:30 Security 成功の監査オブジェクトアクセス 560 user computer "オブジェクトのオープン: オブジェクトサーバー: Security オブジェクトの種類: File オブジェクト名: E:\\\\作業中\\\\フォルダ1 新しいハンドル ID: 1500 操作 ID: {0,000000000} プロセス ID: 8 プライマリユーザー名: xxx プライマリドメイン: xxx プライマリログオン ID: (000000000) クライアントユーザー名: xxx クライアントドメイン: xxx クライアントログオン ID: (000000000) アクセス DELETE 特権 - －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

投稿者

投稿内容

さかさん: 会議室デビュー日: 2007/08/06; 投稿数: 4

投稿日時: 2008-11-17 13:50

サーバ上の共有フォルダのある階層にフォルダ削除のオブジェクトアクセス監査を設定しています。
ところがファイルの削除のログまでもが一部出力されてしまいます。
（例えばフォルダに200個のファイルがあって、そのフォルダを削除すると、
フォルダ削除ログに加えて5個の不要なファイル削除ログが出力される）

ファイルの削除が監査されない様にするにはどうすれば良いのでしょうか？
あるいは設定が間違っているのでしょうか？
テスト環境で同じだと思われる設定を行ってみましたが、再現されませんでした。
同じ現象にあわれた方等、お心当たりありましたらご教授頂ければ幸いです。

AD兼ファイルサーバ：Windows2000server　SP4
クライアント：WindowsXP

監査エントリは以下の様に設定しています。

名前：Domain　Users
適用先：このフォルダとサブフォルダ
アクセス：削除（成功）
「これらの監査エントリを、このコンテナの～」にはチェック入れず。
一番上の階層に設定して子フォルダに継承しています。

フォルダの削除ログでは、イベントID　560→564→562　とログが出力されている。
一部出力されているファイル削除ログは、イベントID　560→562　とログが出力されている。
実際のログを添付します。（編集箇所あり）

－－－－－ファイル削除ログ－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
2008/11/12 15:04:42 Security 成功の監査オブジェクトアクセス 562 user computer "ハンドルのクローズ:
オブジェクトサーバー: Security
ハンドル ID: 2144
プロセス ID: 8
"
2008/11/12 15:04:42 Security 成功の監査オブジェクトアクセス 560 user computer "オブジェクトのオープン:
オブジェクトサーバー: Security
オブジェクトの種類: File
オブジェクト名: E:\\\\作業中\\\\フォルダ1\\\\xxx.tif　　←←←監査設定していないはずのファイル
新しいハンドル ID: 2144
操作 ID: {0,000000000}
プロセス ID: 8
プライマリユーザー名: xxx
プライマリドメイン: xxx
プライマリログオン ID: (000000000)
クライアントユーザー名: xxx
クライアントドメイン: xxx
クライアントログオン ID: (000000000)
アクセス DELETE　　　　　　　　　　　←←←この辺があやしい？
READ_CONTROL
WriteData (または AddFile)
AppendData (または AddSubdirectory または CreatePipeInstance)
WriteEA
ReadAttributes
WriteAttributes

特権 -
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

－－－－－フォルダ削除ログ－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
2008/11/12 14:40:30 Security 成功の監査オブジェクトアクセス 562 user computer "ハンドルのクローズ:
オブジェクトサーバー: Security
ハンドル ID: 1500
プロセス ID: 8
"
2008/11/12 14:40:30 Security 成功の監査オブジェクトアクセス 564 user computer "削除されたオブジェクト:
オブジェクトサーバー: Security
ハンドル ID: 1500
プロセス ID: 8
"
2008/11/12 14:40:30 Security 成功の監査オブジェクトアクセス 560 user computer "オブジェクトのオープン:
オブジェクトサーバー: Security
オブジェクトの種類: File
オブジェクト名: E:\\\\作業中\\\\フォルダ1
新しいハンドル ID: 1500
操作 ID: {0,000000000}
プロセス ID: 8
プライマリユーザー名: xxx
プライマリドメイン: xxx
プライマリログオン ID: (000000000)
クライアントユーザー名: xxx
クライアントドメイン: xxx
クライアントログオン ID: (000000000)
アクセス DELETE

特権 -
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

＠IT SpecialPR

オブジェクトアクセス監査について

スキルアップ／キャリアアップ（JOB@IT）