- 締切済み
ファイルサーバー上のファイル操作における監査
マイクロソフトから提供された文書”ファイルサーバー上のファイル操作における監査”にしたがって監査ポリシーと監査エントリの設定をしてみたのですがID540のイベントログを見てもネットワークアドレスが記録されていません。何かこの文書に書かれていない設定があるのでしょうか。 (例) ネットワーク ログオンの成功: ユーザー名: dswing ドメイン: KOJIMA-C ログオン ID: (0x0,0x2C8F484) ログオンの種類: 3 ログオン プロセス: Kerberos 認証パッケージ: Kerberos ワークステーション名:
- masachem
- お礼率25% (1/4)
- Windows系OS
- 回答数4
- ありがとう数2
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- HoxyBYnepia
- ベストアンサー率51% (15/29)
そうでしたか! 私はmasachemさんの質問で、 こんな文献があることを知ることが出来まして、大変有意義でした。 逆に有り難うございましたって感じです。^^;
- HoxyBYnepia
- ベストアンサー率51% (15/29)
「ファイルサーバー上のファイル操作における監査」ダウンロードしてみました。 質問の中で気になるキーワードとして、「ワークステーション名:」が書かれていますが、資料によると「ワークステーション名:」の表記は2000Serverで、 「ネットワークアドレス」が表示されるのは、2003Serverだけみたいですが? (資料の16ページ) まさか、ファイルサーバーのOSは2000Serverなんて落ちはありませんか?
- HoxyBYnepia
- ベストアンサー率51% (15/29)
私ではお役にはたてない感じの話しかもしれません^^; ”ファイルサーバー上のファイル操作における監査”を見てみようと思いますが、23日にならないとダウンロード出来ないみたいです。 アクセスログの保存は、私自身現在進行形なので、時間があれば、ダウンロードして目を通してみようと思います。
- HoxyBYnepia
- ベストアンサー率51% (15/29)
何をしたいのかな? ID540は、ユーザーのログオン記録だから、(例)の結果は正しいと思いますよ? タイトルからすると、誰がどんなファイルをアクセスしたかを見たいのかな?その場合は、ID=560を見れば判ります。
補足
”ファイルサーバー上のファイル操作における監査”によるとID540ログの説明の中に[ソース ネットワーク アドレス]が記録されてクライアントが特定できるということが書いてあるのですがこの内容では[ソース ネットワーク アドレス]はありません。
関連するQ&A
- ファイルにアクセスのイベントログをとりたい
windows server2008でどのファイルにアクセスのイベントログをとりたい、aファイルのreadとか、グループポリシーのセキュリティ監査でオブジェクト監査を指定し、参照されるフォルダに監査項目を指定しているが、アクセスされたファイル名等が出力されない。
- 締切済み
- Windows系OS
- イベントログの読込監査について
サーバにあるファイルを監査対応に設定しており監査にEveryOneを追加して対応にしております。 通常にファイルを読み込んだ時にイベントログに記録されるのは良いのですが、フォルダを開いただけでそのフォルダにあるファイルの読込記録がイベントログに記録されます。またフォルダにあるファイルの一覧からマウスのアイコンを合わせてファイルサイズを確認しただけで、イベントログの成功の監査に読込の記録されます。 この様に不要のイベントログが記録されない様にしたいのですが、方法がありますでしょうか? サーバのOSは、WindowsServer2003 ローカルPCのOSは、WindowsVistaです。
- 締切済み
- ネットワーク
- Windows上のファイル操作の履歴を取得する方法
ファイル操作の履歴(参照、更新、移動、削除、コピーなど)について、 どのファイルを、誰が、どのマシンで、いつ、何をしたか、の情報をプログラムで取得したいのです。 Windowsの機能に、オブジェクト監査があり、イベントログの形である程度の情報を取得できるのですが、 以下のような情報が的確に収集できません。 ・監査を設定したフォルダから、監査を設定していないフォルダやドライブにコピー/移動 ・ファイルのリネーム等 また、イベントログの数が1回のファイル操作で数十も出力されてしまうため、 何百人分ものファイル操作の情報を、Windows監査のイベントログから収集するとしたら、 これをプログラムするのは非現実的のように思います。 しかも、ファイルタイプ(wordやtxtなど)で異なったイベントログの出力のされ方が異なっています。 どなたか、プログラムでファイル操作の履歴を収集する方法をご存知の方、 解決策を教えてください。 宜しくお願い致します。
- 締切済み
- その他(ITシステム運用・管理)
- セキュリティイベントログの失敗の監査について
WindowsXPproをファイルサーバとして運用しています。 そこでは、フォルダ毎にアクセス権を設定し、 特定のユーザからしかフォルダを開けないようにしています。 そのフォルダに対してアクセス権を持たないユーザがアクセスしてきたことを知りたいので、 グループポリシーの監査ポリシーで、 「オブジェクト アクセスの監査」を失敗だけ監査するよう設定しました。 この状態で、フォルダにアクセス権のないユーザがフォルダを開こうとすると、 「失敗の監査」にアクセスしてきたログが残るのかと思っていたのですが、何も記録されません。 「オブジェクト アクセスの監査」の「失敗の監査」とは、 どのような時に発生するのでしょうか。 ファイルやフォルダのオープン、削除などが対象になっていることは分かるのですが、 フォルダのオープンが失敗しているのにログに出されないため、悩んでいます。 どうぞ、よろしくお願い致します。
- 締切済み
- Windows系OS
- クライアントだけで監査ログ収集するには?
XPproを使用しています。 フォルダーの共有設定をすれば、 セキュリティのタグは現れるのかな?と思いきや、現れません(>_<) ドメインに参加することなく、 クライアント内の監査ログを収集するにはどうすればいいのでしょうか?ご存じの方がおられましたら、ご伝授下さいm(__)m 監査ポリシーには、ログオンイベント、アカウント管理、オブジェクトアクセス、ディレクトリーサービスには、成功・失敗の設定は行っています。
- ベストアンサー
- Windows系OS
- 監査ポリシーの設定がグレーアウトされていて変更できない
Windows 2003 server Standard Edition SP1 の監査ポリシー(オブジェクト アクセスの監視)の設定がグレーアウトされているため変更できません。どうすれば「オブジェクトアクセスの監視」の設定ができるのでしょうか? ファイルサーバで、「誰がどのファイルを開いた(もしくは消した)」などをイベントログに残すために、監査ポリシーの「オブジェクトアクセスの監視」の設定を変更したいです。(最初は失敗にチェックがついている状態) 変更しようと思い「オブジェクトアクセスの監視」のプロパティを開いたところ、グレーアウトされており「成功」にチェックを入れることができません。Microsoftから提示されている「マイクロソフトサーバ製品のログ監査ガイド」を読みましたが、普通に成功にもチェックを入れることができるようです。(グレーアウトされていた場合の対処の記述は無し) もしかすると、何か手順を踏めば、このグレーアウトが解除されて「成功」にチェックを入れることができるのではないか? と思っていろいろ調べていますが見つかりませんので、知っている方がいましたらご教示ください。 その他情報 ・Administrator で監査ポリシーを変更しようとしたが、グレーアウトされていた。 ・パソコンに詳しくないためできれば「レジストリの変更」などは避けたい。 以上、よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- イベントIDが529と680の失敗の監査について
別の方が質問されていますが、ぜんぜん解決していませんので同内容で質問いたします。 内部統制に伴うサーバーセキュリティ対策として不正アクセス検出方法として、ローカルセキュリティポリシーでログオン/ログオフの監査を成功・失敗で設定したのですが、イベントビューアのセキュリティに失敗の監査としてイベントID:529と680の組み合わせで記録されています。ユーザー当人にこのサーバーにアクセスしたか確認しましたが、このサーバーには一切アクセスしていないそうです。 この失敗の監査が出ないようにするにはどうしたらいいのでしょうか?
- ベストアンサー
- Windows系OS
- ファイル共有不可について
windows server2003 SPなし サーバ上のファイルに共有設定を行い、 ネットワーク経由でクライアント(XP)から サーバ(server2003)へのファイルアクセスを行いましたが、 aiueoからはサーバの共有ファイルに aiueoのユーザー名・パスワードを入力することによりアクセスできるのに対し、 12345からサーバの共有ファイルに 12345の適正なユーザー名・パスワードを入力してもログインができません。 サーバ上セキュリティのイベントログでは、 下記のメッセージが出力されております。 イベントID: 529 ログオンの失敗 原因: ユーザー名が不明またはパスワードが無効です。 ちなみに、12345ユーザのパスワードが適正なものであることは、 サーバに12345ユーザにてローカルログオンすることにより、 確認できております。 共有フォルダのセキュリティ設定に不備はございません。 原因等お分かりでしたら教えてください。
- 締切済み
- その他([技術者向] コンピューター)
- ファイルサーバへのログオンについて
皆さんに質問させていただきます。 現在、社内LAN上にNASを接続しており、そのNASにアクセスのデータベースファイル(データ用)を置き、他の複数の部署の端末に、リンクを張った業務アプリ(アクセス)を置いているのですが、あらかじめNASにログオン(IDとPWを入力)しておかないとテーブルが開けません。(OSはWindowsXp) NAS側でユーザ管理がされているのですが、パソコンによってはWindowsが立ち上がった時点でこのNASにログオンされて、問題なくテーブルを開ける端末もありますが、ネットワーク知識がないためどこの設定の違いなのかわかりません。 ネットワークドライブに設定すると、パソコンによって、いちいちID・Pw入力が必要な端末と、自動ログオンできるものがあります。 NASにWindowsが立ち上がったときに自動的にログオンさせるにはどこの設定をいじればいいのでしょうか? Access起動時いVBAコードで接続できるのであればそれでも構わないのですが。 宜しくお願します。
- 締切済み
- その他([技術者向] コンピューター)
- Windows2000サーバーのログ
ファイルサーバーを導入したのですが ユーザーが誤って、ファイルを移動したり 削除したりすることが多いので ログをとりたいと思いました。 その場合、フォルダー右クリックーセキュリティの 監査で設定するのと、監査ポリシーの 「オブジェクトアクセスの監査」・「プロセス追跡の監査」、どれを使用するのがベストでしょうか? いろいろと調べているのですが、特に監査ポリシーは 具体的な内容がつかめずに困っています。 よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
お礼
回答どうもありがとうございました。 私の持つ「ファイルサーバー上のファイル操作における監査」には2000Serverでもネットワークアドレスが記録されると書いてありました。 ANo.2に書いてある通り23日からこの文献がダウンロードできるようになったらしいのですが、私がこの文献をダウンロードしたのはそれ以前なので、おそらく間違いが修正されたのではないかと思います。