• 締切済み

ファイルサーバー上のファイル操作における監査

マイクロソフトから提供された文書”ファイルサーバー上のファイル操作における監査”にしたがって監査ポリシーと監査エントリの設定をしてみたのですがID540のイベントログを見てもネットワークアドレスが記録されていません。何かこの文書に書かれていない設定があるのでしょうか。 (例) ネットワーク ログオンの成功: ユーザー名: dswing ドメイン: KOJIMA-C ログオン ID: (0x0,0x2C8F484) ログオンの種類: 3 ログオン プロセス: Kerberos 認証パッケージ: Kerberos ワークステーション名:

みんなの回答

回答No.4

そうでしたか! 私はmasachemさんの質問で、 こんな文献があることを知ることが出来まして、大変有意義でした。 逆に有り難うございましたって感じです。^^;

回答No.3

「ファイルサーバー上のファイル操作における監査」ダウンロードしてみました。 質問の中で気になるキーワードとして、「ワークステーション名:」が書かれていますが、資料によると「ワークステーション名:」の表記は2000Serverで、 「ネットワークアドレス」が表示されるのは、2003Serverだけみたいですが? (資料の16ページ) まさか、ファイルサーバーのOSは2000Serverなんて落ちはありませんか?

masachem
質問者

お礼

回答どうもありがとうございました。 私の持つ「ファイルサーバー上のファイル操作における監査」には2000Serverでもネットワークアドレスが記録されると書いてありました。 ANo.2に書いてある通り23日からこの文献がダウンロードできるようになったらしいのですが、私がこの文献をダウンロードしたのはそれ以前なので、おそらく間違いが修正されたのではないかと思います。

回答No.2

私ではお役にはたてない感じの話しかもしれません^^; ”ファイルサーバー上のファイル操作における監査”を見てみようと思いますが、23日にならないとダウンロード出来ないみたいです。 アクセスログの保存は、私自身現在進行形なので、時間があれば、ダウンロードして目を通してみようと思います。

回答No.1

何をしたいのかな? ID540は、ユーザーのログオン記録だから、(例)の結果は正しいと思いますよ? タイトルからすると、誰がどんなファイルをアクセスしたかを見たいのかな?その場合は、ID=560を見れば判ります。

masachem
質問者

補足

”ファイルサーバー上のファイル操作における監査”によるとID540ログの説明の中に[ソース ネットワーク アドレス]が記録されてクライアントが特定できるということが書いてあるのですがこの内容では[ソース ネットワーク アドレス]はありません。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

  • ファイルにアクセスのイベントログをとりたい

    windows server2008でどのファイルにアクセスのイベントログをとりたい、aファイルのreadとか、グループポリシーのセキュリティ監査でオブジェクト監査を指定し、参照されるフォルダに監査項目を指定しているが、アクセスされたファイル名等が出力されない。

  • イベントログの読込監査について

    サーバにあるファイルを監査対応に設定しており監査にEveryOneを追加して対応にしております。 通常にファイルを読み込んだ時にイベントログに記録されるのは良いのですが、フォルダを開いただけでそのフォルダにあるファイルの読込記録がイベントログに記録されます。またフォルダにあるファイルの一覧からマウスのアイコンを合わせてファイルサイズを確認しただけで、イベントログの成功の監査に読込の記録されます。 この様に不要のイベントログが記録されない様にしたいのですが、方法がありますでしょうか? サーバのOSは、WindowsServer2003 ローカルPCのOSは、WindowsVistaです。

  • Windows上のファイル操作の履歴を取得する方法

    ファイル操作の履歴(参照、更新、移動、削除、コピーなど)について、 どのファイルを、誰が、どのマシンで、いつ、何をしたか、の情報をプログラムで取得したいのです。 Windowsの機能に、オブジェクト監査があり、イベントログの形である程度の情報を取得できるのですが、 以下のような情報が的確に収集できません。 ・監査を設定したフォルダから、監査を設定していないフォルダやドライブにコピー/移動 ・ファイルのリネーム等 また、イベントログの数が1回のファイル操作で数十も出力されてしまうため、 何百人分ものファイル操作の情報を、Windows監査のイベントログから収集するとしたら、 これをプログラムするのは非現実的のように思います。 しかも、ファイルタイプ(wordやtxtなど)で異なったイベントログの出力のされ方が異なっています。 どなたか、プログラムでファイル操作の履歴を収集する方法をご存知の方、 解決策を教えてください。 宜しくお願い致します。

  • セキュリティイベントログの失敗の監査について

    WindowsXPproをファイルサーバとして運用しています。 そこでは、フォルダ毎にアクセス権を設定し、 特定のユーザからしかフォルダを開けないようにしています。 そのフォルダに対してアクセス権を持たないユーザがアクセスしてきたことを知りたいので、 グループポリシーの監査ポリシーで、 「オブジェクト アクセスの監査」を失敗だけ監査するよう設定しました。 この状態で、フォルダにアクセス権のないユーザがフォルダを開こうとすると、 「失敗の監査」にアクセスしてきたログが残るのかと思っていたのですが、何も記録されません。 「オブジェクト アクセスの監査」の「失敗の監査」とは、 どのような時に発生するのでしょうか。 ファイルやフォルダのオープン、削除などが対象になっていることは分かるのですが、 フォルダのオープンが失敗しているのにログに出されないため、悩んでいます。 どうぞ、よろしくお願い致します。

  • クライアントだけで監査ログ収集するには?

    XPproを使用しています。 フォルダーの共有設定をすれば、 セキュリティのタグは現れるのかな?と思いきや、現れません(>_<) ドメインに参加することなく、 クライアント内の監査ログを収集するにはどうすればいいのでしょうか?ご存じの方がおられましたら、ご伝授下さいm(__)m 監査ポリシーには、ログオンイベント、アカウント管理、オブジェクトアクセス、ディレクトリーサービスには、成功・失敗の設定は行っています。

  • 監査ポリシーの設定がグレーアウトされていて変更できない

    Windows 2003 server Standard Edition SP1 の監査ポリシー(オブジェクト アクセスの監視)の設定がグレーアウトされているため変更できません。どうすれば「オブジェクトアクセスの監視」の設定ができるのでしょうか? ファイルサーバで、「誰がどのファイルを開いた(もしくは消した)」などをイベントログに残すために、監査ポリシーの「オブジェクトアクセスの監視」の設定を変更したいです。(最初は失敗にチェックがついている状態) 変更しようと思い「オブジェクトアクセスの監視」のプロパティを開いたところ、グレーアウトされており「成功」にチェックを入れることができません。Microsoftから提示されている「マイクロソフトサーバ製品のログ監査ガイド」を読みましたが、普通に成功にもチェックを入れることができるようです。(グレーアウトされていた場合の対処の記述は無し) もしかすると、何か手順を踏めば、このグレーアウトが解除されて「成功」にチェックを入れることができるのではないか? と思っていろいろ調べていますが見つかりませんので、知っている方がいましたらご教示ください。 その他情報 ・Administrator で監査ポリシーを変更しようとしたが、グレーアウトされていた。 ・パソコンに詳しくないためできれば「レジストリの変更」などは避けたい。 以上、よろしくお願いします。

  • イベントIDが529と680の失敗の監査について

    別の方が質問されていますが、ぜんぜん解決していませんので同内容で質問いたします。 内部統制に伴うサーバーセキュリティ対策として不正アクセス検出方法として、ローカルセキュリティポリシーでログオン/ログオフの監査を成功・失敗で設定したのですが、イベントビューアのセキュリティに失敗の監査としてイベントID:529と680の組み合わせで記録されています。ユーザー当人にこのサーバーにアクセスしたか確認しましたが、このサーバーには一切アクセスしていないそうです。 この失敗の監査が出ないようにするにはどうしたらいいのでしょうか?

  • ファイル共有不可について

    windows server2003 SPなし サーバ上のファイルに共有設定を行い、 ネットワーク経由でクライアント(XP)から サーバ(server2003)へのファイルアクセスを行いましたが、 aiueoからはサーバの共有ファイルに aiueoのユーザー名・パスワードを入力することによりアクセスできるのに対し、 12345からサーバの共有ファイルに 12345の適正なユーザー名・パスワードを入力してもログインができません。 サーバ上セキュリティのイベントログでは、 下記のメッセージが出力されております。 イベントID: 529 ログオンの失敗 原因: ユーザー名が不明またはパスワードが無効です。 ちなみに、12345ユーザのパスワードが適正なものであることは、 サーバに12345ユーザにてローカルログオンすることにより、 確認できております。 共有フォルダのセキュリティ設定に不備はございません。 原因等お分かりでしたら教えてください。

  • ファイルサーバへのログオンについて

    皆さんに質問させていただきます。 現在、社内LAN上にNASを接続しており、そのNASにアクセスのデータベースファイル(データ用)を置き、他の複数の部署の端末に、リンクを張った業務アプリ(アクセス)を置いているのですが、あらかじめNASにログオン(IDとPWを入力)しておかないとテーブルが開けません。(OSはWindowsXp) NAS側でユーザ管理がされているのですが、パソコンによってはWindowsが立ち上がった時点でこのNASにログオンされて、問題なくテーブルを開ける端末もありますが、ネットワーク知識がないためどこの設定の違いなのかわかりません。 ネットワークドライブに設定すると、パソコンによって、いちいちID・Pw入力が必要な端末と、自動ログオンできるものがあります。 NASにWindowsが立ち上がったときに自動的にログオンさせるにはどこの設定をいじればいいのでしょうか? Access起動時いVBAコードで接続できるのであればそれでも構わないのですが。 宜しくお願します。

  • Windows2000サーバーのログ

    ファイルサーバーを導入したのですが ユーザーが誤って、ファイルを移動したり 削除したりすることが多いので ログをとりたいと思いました。 その場合、フォルダー右クリックーセキュリティの 監査で設定するのと、監査ポリシーの 「オブジェクトアクセスの監査」・「プロセス追跡の監査」、どれを使用するのがベストでしょうか? いろいろと調べているのですが、特に監査ポリシーは 具体的な内容がつかめずに困っています。 よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する