none
オブジェクトアクセスの監査”で出力されるセキュリティログを絞りたい RRS feed

  • 質問

  • ファイルサーバで全ユーザのアクセスログを取得したいと考えています。

    設定は以下の通りです。

    ローカルポリシー→監査ポリシーでオブジェクトアクセスの監査から「成功」と「失敗」にチェック。

    ログを取得したいドライブのプロパティ→セキュリティ→詳細設定→監査

    ここでEveryoneに

    ・フォルダーのスキャン/ファイルの実行

    ・フォルダーの一覧/データの読み取り

    ・ファイル作成/データの書き込み

    ・サブフォルダーとファイルの削除

    ・削除

    上記の成功にチェックを入れています。

    実際に取得したいログは

    ・「ファイルのアクセス・コピー・リネーム・更新・削除」

    ・「フォルダの作成・リネーム・コピー・削除」

    フォルダの閲覧は不要です。

    roauditpol等を駆使して上記のログのみ出力させることは可能でしょうか?

    どうぞよろしくお願い致します。

    2014年4月10日 8:30

回答

  • チャブーンです。

    ここでEveryoneに

    ・フォルダーのスキャン/ファイルの実行
    ・フォルダーの一覧/データの読み取り
    ・ファイル作成/データの書き込み
    ・サブフォルダーとファイルの削除
    ・削除

    上記の成功にチェックを入れています。

    実際に取得したいログは

    ・「ファイルのアクセス・コピー・リネーム・更新・削除」
    ・「フォルダの作成・リネーム・コピー・削除」

    フォルダの閲覧は不要です。

    roauditpol等を駆使して上記のログのみ出力させることは可能でしょうか?

    残念ながらできません。イベントに記録される監査ログは既定以外の組み合わせで出力させることはできません。こういう場合監査ログをイベントログ上でフィルタリングすることで取捨選択します。したの情報が参考になると思いますが、それなりに大変だと思いますので、もっと簡単な方法としてPowershellによるフィルタリングを行うことも推奨です。

    http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer.aspx

    • 回答の候補に設定 佐伯玲 2014年4月16日 2:03
    • 回答としてマーク 佐伯玲 2014年4月24日 6:38
    2014年4月15日 5:21
    モデレータ
  • ご回答ありがとうございます。

    市販のツールで監視しようと思います。

    • 回答としてマーク muscle2015 2014年7月1日 6:11
    2014年7月1日 6:11

すべての返信

  • チャブーンです。

    ここでEveryoneに

    ・フォルダーのスキャン/ファイルの実行
    ・フォルダーの一覧/データの読み取り
    ・ファイル作成/データの書き込み
    ・サブフォルダーとファイルの削除
    ・削除

    上記の成功にチェックを入れています。

    実際に取得したいログは

    ・「ファイルのアクセス・コピー・リネーム・更新・削除」
    ・「フォルダの作成・リネーム・コピー・削除」

    フォルダの閲覧は不要です。

    roauditpol等を駆使して上記のログのみ出力させることは可能でしょうか?

    残念ながらできません。イベントに記録される監査ログは既定以外の組み合わせで出力させることはできません。こういう場合監査ログをイベントログ上でフィルタリングすることで取捨選択します。したの情報が参考になると思いますが、それなりに大変だと思いますので、もっと簡単な方法としてPowershellによるフィルタリングを行うことも推奨です。

    http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer.aspx

    • 回答の候補に設定 佐伯玲 2014年4月16日 2:03
    • 回答としてマーク 佐伯玲 2014年4月24日 6:38
    2014年4月15日 5:21
    モデレータ
  • こんにちは、muscle2015 さん
    フォーラムオペレータの佐伯 玲 です。

    その後チャブーンさんからの返信はご確認いただけましたでしょうか?
    ご質問への回答となるかと思い私の方で「回答としてマーク」とさせていただきました。

    ご確認いただけた際にはご返信いただけましたらと思います。


    宜しくお願い致します。


    TechNet Community Support 佐伯 玲

    2014年4月24日 6:38
  • ご回答ありがとうございます。

    市販のツールで監視しようと思います。

    • 回答としてマーク muscle2015 2014年7月1日 6:11
    2014年7月1日 6:11