none
監査エントリの設定変更について RRS feed

  • 質問

  • 監査エントリについてご教示をお願いします。

    ファイルサーバーのデータ移行を計画しています。(約650万ファイル)

    そこで問題となっているのが、ファイルに対するアクセス監査ログです。
    アクセスログが大量に出力されることでイベントログがローテーションするのを
    防ぐため、移行用に使うユーザーIDを監査対象外にしようとしています。

    現在監査エントリはEveryoneをトップフォルダに指定しています。
    このEveryoneを移行作業で使用するIDを含まないグループに変更し、
    移行用IDを監査対象から除外できる様にしようとしているのですが、
    監査エントリの変更自体が監査ログとして出力されてしまいます。
    この出力は避けられないと考え、ローテーションする前に
    イベントログを保存する予定です。

    ここで質問ですが、監査エントリを変更した場合には
    1ファイルの変更で2件のイベントログが出力されるという
    認識で相違ないでしょうか?

    また、監査エントリの変更が下位のフォルダやファイルに
    反映されるまでの時間は、ファイル数+フォルダ数に応じて
    比例的に増加しますでしょうか?それとも指数関数的に
    急増するものでしょうか?数万単位で検証した限りでは
    比例的に増加しているように見えています。

    以上、ご教示よろしくお願いいたします。

    2013年10月7日 15:43

回答

  • チャブーンです。

    この件ですが、原則的には検証して確認する以外の方法は特にない(事前に確認できる情報は特になかったです)と思いますが。

    セキュリティログのサイジングや変更時のパフォーマンスについて、どうしても気になる(これらに時間をかけないことが最重要課題)ということでしたら、セキュリティの監査そのものをいったん停止する方法はあると思います。フォルダの設定を変えるのではなく、グループポリシー(あるいはローカルポリシー)の「オブジェクトアクセスの監査」を「監査しない」に変更(未構成ではありません)し、サーバをリブートすれば、監査に関する情報はロギングされなくなります。

    移行中は他のユーザからのサーバ利用をさせないことを担保できるのであれば、検討可能な方法のようにも思いますけれど。

    • 回答としてマーク 佐伯玲 2013年10月9日 1:12
    2013年10月8日 9:15
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、原則的には検証して確認する以外の方法は特にない(事前に確認できる情報は特になかったです)と思いますが。

    セキュリティログのサイジングや変更時のパフォーマンスについて、どうしても気になる(これらに時間をかけないことが最重要課題)ということでしたら、セキュリティの監査そのものをいったん停止する方法はあると思います。フォルダの設定を変えるのではなく、グループポリシー(あるいはローカルポリシー)の「オブジェクトアクセスの監査」を「監査しない」に変更(未構成ではありません)し、サーバをリブートすれば、監査に関する情報はロギングされなくなります。

    移行中は他のユーザからのサーバ利用をさせないことを担保できるのであれば、検討可能な方法のようにも思いますけれど。

    • 回答としてマーク 佐伯玲 2013年10月9日 1:12
    2013年10月8日 9:15
    モデレータ
  • チャブーン様

    ご意見ありがとうございます。
    やはり同等環境での検証しか方法はないということで理解しました。
    傾向的にはファイル数などの増加に伴い、比例的+α(ディスクの断片化状況や
    ディスクへのフラッシュなど)というような形で増大するようです。

    移行は数段階にフェーズを分けてコピーし、その後差分コピーを実行し
    移行を完了する予定です。この最終的な移行では他ユーザーからの
    利用を禁止する予定ですが、最初に行う部分的なコピーではユーザー制限は
    実施しないため、ご提案頂いたポリシーの解除はできない状況です。

    今回は時間を重要視するため、幾つか検証した結果を元に
    余裕ある時間を算出し対応を進めようと思います。

    以上、ありがとうございました。

    2013年10月8日 11:46