none
ログの内容が全く理解できません。 RRS feed

  • 質問

  • いつもお世話になっております。

    当フォーラムの助けもあってオブジェクト アクセスの監査でログを取ることに成功しました。

    ありがとう御座いました。

     

    しかし、ログが取れたのはいいのですが見方があまりわかりません。

    ネットや本で調べたのですが、どれも監査の方法までは説明があるのですが、

    取れたログの中身を詳しく説明していません。

     

    そこでお聞きしたいことがあります。

     

    1.Administratorユーザが全共有フォルダのファイルにアクセスしているログがありました。

     なぜAdministratorが勝手にこんなことをしたのか分かりません。

     いろいろ調べた結果「ACL」が関係しているのではと思ったのですがやはりわかりません。

     ログの詳細でイメージ ファイル名が「C:\WINDOWS\explorer.exe」と書いてあると言うことは、explorerが

     何か勝手にしているということでしょうか?

     

    2. ある日の朝会社に来てログを見てビックリ!

     ある社員がフォルダにアクセスした記録でログが埋め尽くされていました。

     記録時間を見ると深夜から朝方まであり、不思議に思いその社員に

     聞くとPCをシャットダウンせずに帰ったとか・・・・

     ということはパソコンが勝手にフォルダにアクセスしたと言うことになるのですが、

     全く理解できません。もしかしたらウイルスでも入っているのでわと不安です。

     ログのアクセス数に「SYNCHRONIZE」と書いてありました。

     マイクロソフトのログ監査ガイドには「オブジェクトを使った同期処理」と書いてあるのですが

     つまりはこれは正常な動作と考えていいのでしょうか?

     

    またイメージ ファイル名が「C:\WINDOWS\system32\svchost.exe」というログもあったのですが、これも正常な動作なのでしょうか?

     

    長くなりましたが今一度よろしくお願いします。

    2008年8月29日 6:59

回答

  • チャブーンです。

     

    これですが、以下の資料である "マイクロソフト サーバー製品のログ監査ガイド" をきちんとご覧になった前提の質問なんですよね?

     

    http://download.microsoft.com/download/A/5/8/A58AF361-D829-4EB6-B248-D552696AD81D/logauditfile.pdf

     

    うえの資料に書いてある内容が「ログ監査の読み方」の基本です。わかりにくいかも知れませんが、まずは丁寧に読み直していただくより方法はありません。資料に書いていないログの読み方については、Windows のしくみがわかればある程度は判定できるはずですが、そもそもよくわからない、何が何でも正しく知りたい、ならば基本的に MS に有償ベースで個別問い合わせを行なってもらった方がいいでしょう。

     

    まず、1 の質問で「なぜAdministratorが勝手にアクセスしたのか」ですが、アンチウイルスソフトを含むサードパーティ製品の問題、ネットワークドライブを設定していればそのカラミ、など複数の理由があり、実環境に依存します。ですから、だれかが代りに答えてあげる、ということは事実上ムリだと思います。ご自身で切り分けを行なってもらうしか方法はありません。ちなみに explorer.exe はデスクトップとしてロードされているエクスプローラが行なっている可能性があります。タスクスケジューラでアクセスをしていないか、ネットワークドライブの設定はどうなっているか、といった点も含め確認した方がいいでしょう。

     

    2 の質問の「パソコンが勝手にアクセス」も基本的には環境依存の可能性が高いので、「内部的に何が起こっているのか」確認しながら調べるしか方法はないでしょう。1 と同様の切り分け作業も必要かも知れません。ちなみに svchost.exe は各種 Windows ネットワーク通信 (MS-RPCなど) を行なうプロセスをホストする親プロセスになります。動作そのものは OS 内部のものですが、トリガー(動作の引き金)は別のプログラムが行なっているかも知れないので、判断材料にはなりにくいでしょう。

     

    「該当クライアント内で何が起こっているのか」を調べたいときには、「プロセスの監査」を行なうことで、問題の時間にどんなプロセスが動作しているか、などが確認できるかもしれません。プロセスの監査については、したに資料がありますね。

     

    http://technet2.microsoft.com/WindowsServer/ja/library/0a642c0c-387a-44f5-bfd9-951b87fd13801041.mspx

    http://support.microsoft.com/kb/890381/en-us

     

    総じて「よくある話し」ではないと思いますので、切り分けや確認が必要だということ、無償レベルでだれかがサクッと答えてくれる、を期待するのは難しいというのは認識いただいた方がいいと思いますよ。

    2008年9月1日 7:44
    モデレータ

すべての返信

  • チャブーンです。

     

    これですが、以下の資料である "マイクロソフト サーバー製品のログ監査ガイド" をきちんとご覧になった前提の質問なんですよね?

     

    http://download.microsoft.com/download/A/5/8/A58AF361-D829-4EB6-B248-D552696AD81D/logauditfile.pdf

     

    うえの資料に書いてある内容が「ログ監査の読み方」の基本です。わかりにくいかも知れませんが、まずは丁寧に読み直していただくより方法はありません。資料に書いていないログの読み方については、Windows のしくみがわかればある程度は判定できるはずですが、そもそもよくわからない、何が何でも正しく知りたい、ならば基本的に MS に有償ベースで個別問い合わせを行なってもらった方がいいでしょう。

     

    まず、1 の質問で「なぜAdministratorが勝手にアクセスしたのか」ですが、アンチウイルスソフトを含むサードパーティ製品の問題、ネットワークドライブを設定していればそのカラミ、など複数の理由があり、実環境に依存します。ですから、だれかが代りに答えてあげる、ということは事実上ムリだと思います。ご自身で切り分けを行なってもらうしか方法はありません。ちなみに explorer.exe はデスクトップとしてロードされているエクスプローラが行なっている可能性があります。タスクスケジューラでアクセスをしていないか、ネットワークドライブの設定はどうなっているか、といった点も含め確認した方がいいでしょう。

     

    2 の質問の「パソコンが勝手にアクセス」も基本的には環境依存の可能性が高いので、「内部的に何が起こっているのか」確認しながら調べるしか方法はないでしょう。1 と同様の切り分け作業も必要かも知れません。ちなみに svchost.exe は各種 Windows ネットワーク通信 (MS-RPCなど) を行なうプロセスをホストする親プロセスになります。動作そのものは OS 内部のものですが、トリガー(動作の引き金)は別のプログラムが行なっているかも知れないので、判断材料にはなりにくいでしょう。

     

    「該当クライアント内で何が起こっているのか」を調べたいときには、「プロセスの監査」を行なうことで、問題の時間にどんなプロセスが動作しているか、などが確認できるかもしれません。プロセスの監査については、したに資料がありますね。

     

    http://technet2.microsoft.com/WindowsServer/ja/library/0a642c0c-387a-44f5-bfd9-951b87fd13801041.mspx

    http://support.microsoft.com/kb/890381/en-us

     

    総じて「よくある話し」ではないと思いますので、切り分けや確認が必要だということ、無償レベルでだれかがサクッと答えてくれる、を期待するのは難しいというのは認識いただいた方がいいと思いますよ。

    2008年9月1日 7:44
    モデレータ
  • 返答ありがとう御座います。

    もっともっと勉強して、何とか自力で解決しようと思います。

     

    ありがとう御座いました。

    2008年9月1日 22:55
  • こんにちは。

    フォーラムオペレーターの鈴木裕子です

     

    チャブーン さん、大変的確な情報をご投稿いただき、ありがとうございました!

     

    r505r2000 さん、こちらの技術情報を確認しつつ(大変参考になると思います)、

    Forumや、場合によってはサポート窓口も活用して、問題解決にトライしてみててください!

     

    なお、こちらの情報を他の方々にも活用いただきたく、

    勝手ながら私の方で回答チェックをつけさせていただきました。

    r505r2000 さんはチェックの解除ができますので、もし不適切でしたら修正をお願いします。

     

    これからも、Forumをご活用くださいね。

    それでは。

    2008年9月5日 1:52
    モデレータ