• ベストアンサー

イベントログの仕様について

あるフォルダにオブジェクトアクセスの失敗の監査をかけ、そのログについてレポートを作成しようと思うのですが、許可のないユーザでそのフォルダにアクセスした後、イベントビューアで確認すると、一回のみのアクセスにもかかわらず、複数の監査ログができてしまっています。 イベントログはどういう仕様になっているのでしょうか? どなたかご存知の方いらっしゃいましたら、お教えいただけませんでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • kawabata
  • ベストアンサー率67% (21/31)
回答No.1

よろしければ、システムがどのようにフォルダにアクセスしているか、確認されてみてはいかがでしょうか。 単純にフォルダのアクセスといっても、使っているアプリケーションによって、フォルダへのアクセス方法や、失敗したときの再アクセスのタイミングがことなります。 便利なツールとして、Sysinternals から Filemon が無償で提供されています。 英語ですが、簡単に操作できます。 このツールを起動するとすべてのアプリケーションのすべてのファイルアクセス状況がリアルタイムに表示されます。フィルタを設定して、任意のフォルダやアプリケーションのみ記録するようにもできます。 一度、試してみていただければと思います。

参考URL:
http://www.sysinternals.com/ntw2k/utilities.shtml
yamasa
質問者

お礼

ご回答ありがとうございます。 Filemonを試してみました。 クリックしてファイルを開くということをするのでも、内部ではたくさんの手順を踏んでおり、それがイベントログに吐き出されているということなのですね。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Windows
  4. Windows NT・2000

関連するQ&A

  • イベントログに関して

    windows2003serverのイベントログの監査で 1つのイベントでどの位ログ件数が発生するのか大体でいいのですが わかりませんでしょうか。 例えばファイルを開いて閉じただけとか それにより1週間でどのくらいのログがたまるのかを知りたいです。 宜しくお願いします。

  • セキュリティイベントログの失敗の監査について

    WindowsXPproをファイルサーバとして運用しています。 そこでは、フォルダ毎にアクセス権を設定し、 特定のユーザからしかフォルダを開けないようにしています。 そのフォルダに対してアクセス権を持たないユーザがアクセスしてきたことを知りたいので、 グループポリシーの監査ポリシーで、 「オブジェクト アクセスの監査」を失敗だけ監査するよう設定しました。 この状態で、フォルダにアクセス権のないユーザがフォルダを開こうとすると、 「失敗の監査」にアクセスしてきたログが残るのかと思っていたのですが、何も記録されません。 「オブジェクト アクセスの監査」の「失敗の監査」とは、 どのような時に発生するのでしょうか。 ファイルやフォルダのオープン、削除などが対象になっていることは分かるのですが、 フォルダのオープンが失敗しているのにログに出されないため、悩んでいます。 どうぞ、よろしくお願い致します。

  • 監査について

    社内の共有フォルダがあるのですが、そこに監査の設定を有効にさせて、誰がアクセスし、 どんなアクションをしたのか全てログに取りたいと考えています。 該当のフォルダの監査エントリに「Everyoneフルコントロール」にて全て(成功と失敗)を 設定しました。 これにより、イベントビューアーのセキュリティのイベントにログが上がってくるのでしょうか? それとも、そのフォルダ専用のイベントビューアーなどが作成されるのでしょうか? その辺りの動きが良く分かりません。 URLなどだけでも結構ですので、ご教授お願い致します。

  • (Windows Server 2003)「オブジェクトアクセスの監査」の設定方法

    環境:シングルドメイン、ファイルサーバ(ドメインのメンバサーバ)     ファイルサーバは、まとめてFSV_OUと言うOU内に整理している。      実施したい事:このファイルサーバ上の特定の共有フォルダに対して、          アクセスと試みた人の監査ログを取りたいです。 (1)FSV_OUのグループポリシーオブジェクトで「オブジェクトアクセスの監査」を有効にしました。   (とりあえずは、成功・失敗の両方をチェックする様に設定しました。) (2)監査したいファイルサーバ上の共有フォルダ(プロパティ)で監査エントリを作成。  (とりあえずは、Everyoneに設定しました。) (1)(2)を試したけど、イベントビューア(セキュリティ)何も表示されませんでした。 <そこで、質問です。> ・どの様に設定したら、上記のような事ができるのか教えてください。 ・また、オブジェクトアクセスの監査ログは、ドメインコントローラ上、それともファイルサーバ上、  どちらのサーバ上のイベントビューアに表示されるのでしょうか?

  • ファイルにアクセスのイベントログをとりたい

    windows server2008でどのファイルにアクセスのイベントログをとりたい、aファイルのreadとか、グループポリシーのセキュリティ監査でオブジェクト監査を指定し、参照されるフォルダに監査項目を指定しているが、アクセスされたファイル名等が出力されない。

  • リモートコンピュータのイベントログを取得する方法

     ネットワーク上のコンピュータのイベントログを集めるツールを作成したのですが、遅くて困っています。1台のコンピュータからログをとるのに10分もかかります。  同じ環境で、イベントビューアを使用してリモートコンピュータ上のイベントログを集めると、1台あたり30秒ぐらいで終わるのですが。  ちなみに、ツールは、C++で、APIを使用して作成しました。OpenEventLog関数でリモートコンピュータ上のイベントログをオープンして、ReadEventLogでログファイルを読み込んでいます。  イベントビューアでは、ここでどんな処理をしているのでしょうか?  ご存知の方がいらっしゃいましたら、どうか教えてくださいませ。

  • IEのイベントログをイベントビューアの「Internet Explorer」で確認する方法

    イベントビューアを見ても、Internet Explorerのイベントログが表示されないみたいで困っています。 今までにIEが固まったり異常終了したりということは何度かあったのに、そのログが全くありません。 もしかすると、記録すらされていないのかもしれません。 現在は、イベントビューアで左ツリーから「Internet Explorer」を選んでも、ログが1つも出てこない状態です。 「このビューに表示する項目はありません。」という文があるだけです。 ログを消した覚えはないですし、ログがいっぱいになったとかでもないと思います。 フィルタは不使用で、すべてのレコードを表示する設定になっています。 イベントビューアの「Internet Explorer」のプロパティを見てみると、以下のようになっていました。何か関係あるんでしょうか? (普通にログがちゃんと表示されている「アプリケーション」のプロパティと異なる箇所だけ書き出しました) ログの名前: (空白) サイズ:  利用できません 作成:   利用できません 修正:   利用できません アクセス: 利用できません IEのイベントログをイベントビューアの「Internet Explorer」で確認するには、どこでどのような設定をすればいいんでしょうか? よろしくお願いいたします。

  • Windows共有のログ解析について

    Windows2000で共有をはっているフォルダ、ファイルに 他のネットワークマシンからアクセスしたログを 取りたいのですが 「ローカルポリシー」-「セキュリティの設定」-「監査ポリシー」で オブジェクト、アクセスの監査を「成功、失敗」にしてイベントビューアのセキュリティログにログが出るようになったのですが 接続してきた側のコンピューター名が出てきません。 接続してきた側のコンピューター名が表示されるようにするには どのような設定をすればいいでしょうか。

  • クロスケーブルで接続時のエラー

    ノートPCとデスクトップPCをクロスケーブルでLan接続し、フォルダの共有を したいのですが、ノートPCからデスクトップの共有フォルダを見ようとすると・・・ 「\\Desktopにアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。 アクセス許可があるかどうかこのサーバの管理者に問い合わせて下さい。 ログオン失敗:要求された種類のログオンは、このコンピュータではユーザに許可がされていません。」 と、エラーメッセージが表示されます。 また、デスクトップPCのイベントログには ------------------------------------------------ イベントの種類: 失敗の監査 イベント ソース: Security イベント カテゴリ: ログオン/ログオフ イベント ID: 534 日付: 2005/12/25 時刻: 10:40:10 ユーザー: NT AUTHORITY\SYSTEM コンピュータ: DESKTOP 説明: ログオンの失敗: 原因: ユーザーは、このコンピュータでは要求された 種類のログオンは認められていません。 ユーザー名: XXXXX ドメイン: NOTE ログオンの種類: 3 ログオン プロセス: NtLmSsp 認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 ワークステーション名: NOTE ----------------------------------------------- と、エラーログがでていました。 因みにデスクトップPCからはノートPCの共有フォルダを見ることができます。 どうすれば、ノートPCからデスクトップの共有フォルダを見れるようになるのでしょうか??

  • ドメインにログオンしないPCから共有フォルダへアクセス

    以下の構成で共有フォルダへアクセスをしたいのですが、 クライアント Win2000 Pro サーバ Win2003 Server どちらもコンピュータとしてはドメインに登録されてますが、 通常はローカルのadministratorで使用します。 サーバ側で作成した共有フォルダには、「セキュリティ」タブでの設定で、 コンピュータオブジェクトとしてクライアントのコンピュータを追加し、 フルコントロールを与えてます。 追加時には「名前の確認」で確認できることも確認できてます。 また、「共有」タブの「アクセス許可」ではEveryoneにフルアクセスを与えてます。 エクスプローラ上で「\\サーバのホスト名」や「\\サーバのホスト名\共有名」 などを入力し、クライアントからアクセスを試みてもユーザ名とパスワードを問う ウインドウが出てしまいアクセスができません。 アクセスに失敗した際のサーバ上のイベントビューアでは、 セキュリティログに成功の監査として、ログオン/ログオフのログが残っています。 その時のアクセスユーザは共有で追加したコンピュータ名となっています。 これらのログを見ると問題ないようなのですが。。 クライアントにドメインユーザでログオンした場合は、問題なくアクセスできます。 何か他にチェックすべき項目等ありませんでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する