whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


ファイル監査ツールのFAQ 39件

ファイル監査 : 2010.04.23 Friday

2015.09.15 販売終了しました。



  Q1 どのような時に使えますか?
  A1 ファイルサーバのログオン/ログオフ、ファイルアクセスを監査する場合です。

  Q2 Windowsにログインしていない状態で使用できますか?
  A2 Windowsサービスプログラムで実装されていますので、コンピュータが起動していれば、Windowsにログインしていない状態でもファイルアクセスがログ出力できます。

  Q3 メール通知で SMTPサーバーの認証は対応していますか?
  A3 SMTPサーバーのポート番号指定、ユーザー・パスワードによる基本認証機能はあります。

  Q4 イベントログ分析ツールとの違いは?
  A4 イベントログ分析ツール(WFEAN) は エージェントレス構成が可能で 対象サーバーのイベントログをすべて保存し、分析します。 ファイル監査ツールは 対象サーバーにインストールする構成で ファイルアクセスに関するログだけを保存し、検索・表示します。

  Q5 ライセンス料とインストール台数の関係は?
  A5 ライセンスは対象サーバー台数により異なります。

  Q6 保守サービスの内容と料金は?
  A6 保守サービスのページを参照してください。

  Q7 対象サーバーのOSはWindows 2000、Window NT 4.0でも可能ですか?
  A7 いいえ。Windows Server 2008版は Windows Server 2008(または Vista)、Windows Server 2003版は Windows Server 2003(または XP)です。

  Q8 別ワークグループのサーバーも監視できますか?
  A8 ファイル監査ツールは 対象サーバーにインストールしますので 他サーバーの監査はできません。

  Q9 メール送信エラーとなり、送信ログに「送信エラー(コマンドは実装されていません。」と表示されます。
  A9 通知先で指定したSMTPサーバーがESMTPに対応していない場合、あるいはESMTP設定していない場合に発生します。ご利用のSMTPサーバーの仕様、設定を確認して下さい。

  Q10 SQL Server を使用する場合の注意点は?
  A10 SQL Server はネットワーク上への情報提供を「SQL Browser」という別のWindowsサービスが行っています。このサービスが開始されていないとファイル監査ツールのSQL Server一覧に表示されません。
また、ファイル監査ツールでは  SQL Server の一覧表示(インスタンスの列挙)に SqlDataSourceEnumerator クラスを使用 していますが ブロードキャストパケットがルータを超えないケースやタイミング等によっては 列挙できないケースがあります。

  Q11 SQL Server のCALは いくつ必要ですか?
  A11 1台のサーバーに ファイル監査ツールをインストールする場合、SQL Server への接続は 1クライアントです。SQL Serverを購入する場合は 最小限の5CAL付きで十分です。

  Q12 SQL Serverの、どのEditionで動作しますか?
  A12 すべてのEdition(Express, Workgroup, Standard, Enterprise)で 問題なく動作しますが、Editionによっては CPU数、SQL Serverのサービス機能に差異がありますので Microsoft社の「 SQL Server 2005 エディション別機能比較表」などで 導入するサーバーと適合しているかをご確認願います。

  Q13 体験版で制限されている機能は?
  A13 体験版は 試用期間は 30日間です。

  Q14 SQL Server のインストールで注意する点は?
  A14 (インストール コンポーネント)
・SQL Serverデータベースサービス
・Notification Services ※このサービスがないと 一覧表示されません。
・ワークステーションコンポーネント,Books Onlineおよび開発ツール

(ログイン情報)
・SQL Server認証モード(saなど)

1) SQL Server (MSSQLSERVER)は実行されていますか?
コンパネ・サービス、または SQL Server Configuration
Managerで 状態を確認し、停止している場合は
開始してください。

2) Microsoft SQL Server Management Studioで接続できますか?

  Q15 スタンドアロンPCで動作しますか?
  A15 スタンドアロンPCで動作します。データベースに 無償のSQL Server Express Editionを 使用されているユーザー様が多いです。

  Q16 共有ファイルへのアクセスはどのように識別されますか?
  A16 ファイルアクセスのレポートでは ファイル名、ユーザー名、日時、ファイル読込、ファイル変更、ファイル削除、アクセス権変更、所有者変更が表示されます。
「ファイル新規作成」は、「ファイル変更」として記録されます。
「ファイルコピー」は、コピー元ファイルの「ファイル読込み」とコピー先ファイルの「ファイル変更」として記録されます。
「ファイルリネーム」は、リネーム元ファイルの「ファイル読込み」「ファイル削除」とコピー先ファイルの「ファイル変更」として記録されます。

  Q17 いつ・誰が・どのファイルを・削除したかは解りますか?
  A17 ビューアで検索・表示できます。

  Q18 Windows Vista,Windows 7にインストールするとエラーが表示されます。
  A18 Windows Vista,Windows 7の標準設定ではユーザーアクセス制御(UAC)が有効になっています。
弊社製品に含まれるWindowsサービスプログラムが UAC有効の場合にはブロックされ、インストールが正しくおこなわれません。
弊社製品をインストールする場合、UACを無効にして、インストールしてください。
UACを無効にする方法は Vista UAC無効化 を参照してください。

  Q19 監査ポリシーの設定方法は?
  A19 設定ツールの [監査ポリシー]タブで 簡単に設定できます。設定される内容については、監査ポリシー設定のページ を参照してください。

 Q20Windows Vistaのイベントログ・セキュリティに アクセスした覚えがないファイルアクセスが発生します。
 A20ログオンユーザーの権限で、Windowsデスクトップサーチ(SearchProtocolHost.exe)がインデックス作成のために、ファイルアクセスします。
既定では InternetExplorerの履歴、スタートメニューなど 多くのフォルダのインデックスを作成します。
[コントロールパネル]->[インデックスのオプション]で 不要なインデックス作成しないようにすれば ファイルアクセスが減り、イベントログへの登録も減ります。

  Q21 監査ポリシーが設定されません。
  A21 設定ツールでは ローカルセキュリティポリシーを設定しますが、ActiveDirectoryドメインに参加しているコンピュータの場合、ローカルポリシーよりもドメインポリシーが優先されます。ドメイン管理者と相談していただき、該当コンピュータで [監査ポリシー]を設定できるようにしてください。監査ポリシーについては、監査ポリシー設定のページ を参照してください。

  Q22 Windows Server 2003/XPでイベントログサイズを変更したら ファイルアクセスログが登録されません。
  A22 イベントログサイズ変更後は コンピュータの再起動が必要です。

イベントビューアで イベントログを表示してみてください。「イベントログが壊れています」というメッセージが出る場合には、イベントログを消去して コンピュータを再起動すると イベントログシステムが正常に戻ります。

 Q23 監査フォルダ数、ファイル拡張子数に制限はありますか?
 A23 製品仕様(プログラム仕様)としての制限はありません。
監査フォルダ数、ファイル拡張子数が多くなると 処理時間がかかりCPU負荷が高くなりますので、監査が必要なフォルダ、ファイル拡張子に限定されることをお勧めいたします。

 Q24 SQL Server Express Editionでデータベース接続エラーとなります。
 A24 SQL Server Express Editionは既定インスタンス名が「SQLEXPRESS」となります。
また、ネットワーク接続が既定では無効となり、SQL Browser Serviceが起動しないためデータベースサーバーの一覧に表示されません。
【参考】SQL Server 2005ネットワーク接続について

ファイルアクセス監査ツールの設定ツールで
[監査設定]タブ [データベース]タブの
サーバーには 「(コンピュータ名)¥SQLEXPRESS」と入力し、
ログイン、パスワードを入力し
[接続確認]をクリックしてください。

  Q25 「フォルダへの監査設定でエラーが発生しました。」と表示されます。
  A25 フォルダに対するアクセス権が不足している場合(システムフォルダなど)に発生するエラーです。ユーザーアクセス権、エラーの出たフォルダ名を確認してください。

 Q26SQL Server Express EditionでSQL認証にする方法は?
 A26 SQL認証を有効にする方法(混合モードへの切り替え)は以下の通りです。
1) [スタート]->[ファイル名を指定して実行]をクリック
2) regeditと入力し、[OK]をクリック
3) レジストリエディタの左側ツリー(レジストリHive)で以下のHiveを展開
[マイ コンピュータ]
+ [HKEY_LOCAL_MACHINE]
+ [SOFTWARE]
+ [Microsoft]
+ [Microsoft SQL Server]
+ [MSSQL.1]
+ [MSSQLServer]
4) [MSSQLServer]の配下にあるレジストリが 右側に表示されたら「LoginMode」をダブルクリック
5) DWORD値の編集ダイアログで 値のデータを「2」に変更して [OK]をクリック
6) レジストエディタの右上[×]をクリックして 終了


 Q27SQL Server Express EditionでSQLログイン saを有効にする方法は?
 A27 saを有効にする方法は 以下の通りです。
1) [スタート]->[すべてのプログラム]->[アクセサリ]->[コマンドプロンプト]をクリック
2) コマンドプロンプトで 以下のテキストを入力し、Enterキー
 sqlcmd -E -S .¥SQLEXPRESS

3) SQLCMDのプロンプト(1>)が表示されたら テキストを入力し、Enterキー
 ALTER LOGIN sa ENABLE

4) 3)と同様に
 GO
5) 3)と同様に
 ALTER LOGIN sa WITH PASSWORD='XXXXXXXX'
6) 3)と同様に
 GO
7) 3)と同様に
 QUIT


 Q28 監査ログのユーザー名が空欄となります。
 A28 ユーザー情報(ログイン情報)は イベントログで検出します。
イベントビューアで、ログイン(ID 528/540/4624)、オープン(ID 560/4656)が記録されているかを確認してください。

ユーザー情報が表示されないケースは
 1) 監査対象フォルダに対する 監査設定が行われていない場合
 2) ログイン後に ファイル監査ツールを起動し、再ログインしていない場合
があります。

1)の場合、
ファイルアクセスをおこなったフォルダを エクスプローラで表示し、 [プロパティ]->[セキュリティ]タブ->[詳細設定]ボタン -> [監査]タブ の順にクリックすると 監査設定が表示されます。

2)の場合、ファイル監査ツール・設定ツールで設定後、
該当マシンからログオフ、再度ログオンして操作してください。

 Q29 読取で複数件の監査ログが表示されます。
 A29 Microsoft .NET Frameworkのファイル検知の仕様の ため 読み取りは複数検知してしまいます。

 Q30 変更していないファイルの読取 監査ログが表示されます。
 A30 Word,メモ帳などのアプリケーションによる変更でも
Windows OSのセキュリティモジュールや
エクスプローラなどが ファイルにアクセスするため
「変更したファイル以外のファイル」の
読み取りが発生します。

 Q31 メール通知のエラーメールとは?
 A31 ファイル監査ツールで データベース書き込みエラーが発生した場合 などのプログラムエラー発生時に メールが通知されます。

 Q32Windows Server 2008 R2でプログラムを実行すると 「データ不正、ライセンス切れのため終了します」と表示されます。
 A32 セキュリティの関係で プログラムが実行できない状態となっています。

ウィルス対策ソフトを一時的に停止して 実行できるかを確認してください。ウィルス対策ソフトの停止で プログラム実行できる場合、ウィルス対策ソフトの例外プログラムとして 登録してください。

ウィルス対策ソフトを停止しても プログラム実行できない場合、管理者権限が不足している可能性があります。
以下の手順で 管理者として実行できるように 設定後、プログラムを実行してください。

1) [スタート]メニューの[すべてのプログラム]、[SDK-LTD]で [WhiteFox FileAccess Auditor設定ツール]を右クリックして、[プロパティ]をクリック
2) WhiteFox FileAccess Auditor設定ツールのプロパティ画面で [互換性]タブをクリック
3) 特権レベルの「管理者としてこのプログラムを実行する」をチェックし、[OK]をクリック
※WhiteFox FileAccess Auditorビューアも同様に設定してください。


  Q33 ファイル拡張子ですべて(*.*)は指定できませんか?ファイル拡張子の除外指定はできませんか?
  A33 すべてのファイルを監査すると 処理負荷がかかり ファイル変更検知に失敗する可能性があり、現在の仕様では すべて(*.*)の指定はできません。
ファイル拡張子の除外指定についても、いったん すべて(*.*)でファイル変更検知して 除外する拡張子を省く処理となるため、指定はできません。

  Q34 データベーステーブルがいっぱいになるとどうなりますか?
  A34 DBがいっぱいになると、テーブルWriteエラーとなり、ファイルアクセスログが記録されなくなります。
(SQL Server Express Editionの場合、4GB)

月1回などのタイミングで 以下の処理をおこなってください。
1) ファイル監査ツールのサービスを停止
2) データベースをデタッチ
3) データベースファイルを 別サーバーにコピー
4) データベースをアタッチ
5) 不要なログをSQL文で削除

(例1)
DELETE T01_Logon WHERE LogonDate < '2012-07-01'
DELETE T02_FileOpen WHERE OpenDate < '2012-07-01'
DELETE T03_FileAccess WHERE AccessDate < '2012-07-01'

(例2)
TRUNCATE TABLE T01_Logon
TRUNCATE TABLE T02_FileOpen
TRUNCATE TABLE T03_FileAccess

6) ファイル監査ツールのサービスを開始

  Q35 データベーステーブルの自動インデックスをリセットする方法は?
  A35 ファイル監査ツールで作成されるテーブルの自動インデックス(LN_ID、OP_ID、AC_ID)は Integer型ですので 21億回のログイン、ファイルオープン、ファイルアクセスまでには、リセットが必要です。

通常状態で1日のアクセスユーザー、ファイルアクセス数を求めて、1年に1度か、半年に1度などの頻度で、リセットしてください。
※テーブルを全削除しても、IDは0には戻りません。

(インデックスのリセット例)
DBCC CHECKIDENT (テーブル名 ,RESEED ,0)

  Q36 設定ツールで[保存]をクリックすると、応答なしになります。
  A36 監査フォルダをたくさん指定した場合、監査フォルダ内にたくさんサブフォルダ・ファイルがある場合、監査設定に時間がかかります。 サーバのスペックにもよりますが、数分〜数時間かかる場合もあります。 できる限りフォルダ・ファイルが無い状態で[保存]することを おすすめします。

  Q37 アクセス数が多い場合の推奨スペックはありますか?
  A37 サーバースペックは、要求仕様(ユーザー数×単位時間当たりの平均アクセス数、最大同時アクセスユーザー数×平均アクセス数など)に基づいて、決定するものなので、弊社製品を動作させるための推奨スペックというものはございません。

  Q38 ログのローテーション機能はありますか?
  A38 現在のバージョンでは、ローテーションの機能はありません。FAQページ・Q34に記載されているように、お客様自身でテーブルのバックアップ等をおこなっていただくことになります。

  Q39 イベントログは大量に溜まりますか?
  A39 ファイル監査ツールは、イベントログを発生時に取得するのでイベントログを蓄積する必要はありません。Windowsのイベントログ設定で、「必要に応じてイベントログを上書きにする」に設定すればイベントログは一定サイズまでとなります。



Googleブックマークに登録Googleブックマーク  Yahoo!ブックマークに登録Yahoo!ブックマーク 


【最近の投稿】



お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ