whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows ファイルサーバー監査 オープン アクセス 削除 クローズ

イベントログ概要 : 2009.09.11 Friday


ファイルアクセスの監査
ファイルアクセスの監査について説明します。
ファイルアクセス関連のイベントログは、以下の順に発生します。
1) ログオン
2) ファイルオープン
3) ファイルアクセス
4) ファイルクローズ
5) ログオフ

ログオン/ログオフについては 前回(ログオン/ログオフ)の記事 で説明したので、そちらを参照して下さい。
ファイルアクセス関係のイベントログは、イベントログ・セキュリティに登録されます。
イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
イベントID 意味 説明に含まれる情報
560 ファイルオープン 種類、ファイル名、ハンドルID、プロセスID、ユーザー名、ドメイン名、操作内容
567 ファイルアクセス ハンドルID、種類、プロセスID、操作内容
564 ファイル削除 ハンドルID、プロセスID
562 ファイルクローズ ハンドルID、プロセスID

ファイルアクセスの監査を行う場合、イベントID 567(ファイルアクセス)、564(ファイル削除)からスタートします。
イベントID 567(ファイルアクセス)には ハンドルID、プロセスID、操作内容が記録されます。
ハンドルID、プロセスIDが一致するイベントID 560(ファイルオープン)を探し、ファイル名、ユーザー名、ドメイン名を対応づけします。
また、イベントID 560(ファイルオープン)とログオンIDが一致する イベントID 540,528(ログオン)を探し、ログオン時間を対応づけします。
対応づけが完了したら、どのファイルに、いつ、どのユーザーが、どのようなアクセスをしたかがわかります。

操作内容には 以下の値がはいります。
説明
DELETE オブジェクトの削除
READ_CONTROL オブジェクトのセキュリティ情報の読取り
WRITE_DAC オブジェクトのアクセス権の変更
WRITE_OWNER オブジェクトの所有者の変更
SYNCHRONIZE オブジェクトを使った同期処理
ReadData(または
ListDirectory)
フォルダ・ファイルの読取り
WriteData(または
AddFile)
フォルダへのファイル操作、ファイルへの書込み
AppendData(または
AddSubDirectory または
CreatePipeInstance)
データの追加、フォルダの作成
ReadEA 拡張属性の読取り
WriteEA 拡張属性の書込み
実行/スキャン フォルダのスキャン、ファイルの実行
DeleteChild フォルダとフォルダ内のファイル削除
ReadAttributes 属性の読取り
WriteAttributes 属性の書込み

イベントID 564(ファイル削除)には ハンドルID、プロセスIDが記録されます。操作内容は イベントIDがファイル削除をあらわすので、説明欄には記録されません。
イベントID 567(ファイルアクセス)と同様に、イベントID 560(ファイルオープン)、イベントID 540,528(ログオン)を探し、対応づけします。

Windows Vista,Windows 7,Windows Server 2008 ファイル監査
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID 意味
4656ファイルオープン
4663ファイルアクセス
4690ファイルコピー
4660ファイル削除
4658ファイルクローズ


分析、監査作業の省力化には・・・
ファイルアクセスの監査は 上記の通りなのですが、実際の運用で手作業でオープン/アクセスの対応をとるのは困難です。
また、ファイルアクセスの失敗などのイベントをフィルタリングして セキュリティ侵害の可能性を検知することも 手作業では困難です。

そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベントログ分析ツール WhiteFox EventLog Analyzer」というツールを販売しています。
イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。





お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ