whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows Server 2008/2012/Vista/7/8イベントログ - 4690 ファイルコピー

Windows Server 2008/2012/Vista/7/8 イベントログ : 2010.04.23 Friday

Windows Server 2008/2012/Vista/7/8 の新しいイベントログです。

イベントID 4690 ファイルコピーは ファイルコピー時に発生します。
複製元/複製先それぞれのハンドルID、プロセスIDに対応する ファイルオープン(4656)のイベントログに複製元/複製先のファイル名があります。
ログオンIDに対応する ログオン(4624)のイベントログにアカウント名、ワークステーション名、IPアドレスがあります。

エクスプローラ(dexplore.exe)で ファイルをコピーした場合には イベントログに記録されますが、コマンドプロンプト(cmd.exe)では記録されません。
監査対象フォルダのファイルを 監査対象外フォルダにコピーした場合、複製先ハンドルがイベントログにはありません。(ファイルがコピーされたことは解りますが どこにコピーしたか不明)
監査対象外フォルダのファイルを 監査対象フォルダにコピーした場合、複製元ハンドルがイベントログにはありません。(どこからかは不明だが コピーされてきたファイル)

監査対象フォルダのファイルを 監査対象フォルダにコピーした場合、イベントログに3件の(同一時刻の)ログが登録されます。
たとえば、D:¥Work¥TEST.txt を D:¥Work¥TEST - コピー.txt にコピーした場合、
  (1件目) 複製元 D:¥Work¥TEST.txt 複製先 D:¥Work
  (2件目) 複製元 D:¥Work 複製先 D:¥Work
  (3件目) 複製元 D:¥Work 複製先 D:¥Work¥TEST - コピー.txt
この3件を集約して
  複製元 D:¥Work¥TEST.txt 複製先 D:¥Work¥TEST - コピー.txt
と考えなさいという仕様でしょうか???

イベントログ形式
オブジェクトに対するハンドルの複製が試行されました。
 
サブジェクト:
 セキュリティ ID:%1
 アカウント名:%2
 アカウント ドメイン:%3
 ログオン ID:%4
 
複製元ハンドル情報:
 複製元ハンドル ID:%5
 複製元プロセス ID:%6
 
新しいハンドル情報:
 複製先ハンドル ID:%7
 複製先プロセス ID:%8
 

イベントログ説明
※ありません。




お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ