none
質問: ファイル共有フォルダへのアクセス で EventID: 567 が発生しない RRS feed

  • 質問

  • こんにちは

     

    ファイル共有フォルダへのアクセス時に、EventID 567 が発生しないのですが、
    設定方法、対策などアドバイスいただけませんでょうか。

     

    【情報元】

     TechNet > 管理と運用
     http://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx

     

     このページにある 「ファイルサーバー上のファイル操作における監査」
     のP.20,21 にある EventID: 567 が共有フォルダへのアクセスの場合に
     発生するとあります。

     

    【環境】

     Windows Server 2003 Enterprise Edition x86

     

    よろしくお願いいたします。

    2007年12月13日 8:04

回答

  • チャブーンです。

     

    Windows Server 2003 32bit でちょっとみてみましたが、現状再現できない事象っぽいです。x64 では試してませんが。

     

    試した環境としては、

    ・Active Directory ドメインコントローラ上の共有フォルダ

    ・ドメイン参加したクライアントからアクセス

     

    で、イベント ID 567 はちゃんとでますね。アクセス許可も疑ってみましたが、関係はないようです。

     

    そちらの発生環境の詳細がいただければ、ちょっと確認できるかもしれないですね。

     

    2007年12月20日 4:06
    モデレータ
  • チャブーンです。

     

    なるほど。私の方でもほぼ同じ環境で再度確認(Domain Users に対して監査)しましたが、どうやらおっしゃるようにイベント ID 567 がフォルダやファイルベースでは発生しないようです。

     

    ファイルサーバ自身が認証を代行していないといけないのかな、と思い"コンピュータを委任に対して信頼する"をファイルサーバのオブジェクトに設定しましたが、やはり表示されません。

     

    もう少し調べてみようかと思います。

    2007年12月22日 9:50
    モデレータ
  • チャブーンです。

     

    もう少し調べたところ、現状では以下の条件でのみアクセス時に567イベントが記録されるようです。

     

    ・ドメインコントローラ上の共有フォルダ

    ・ドメイン\Administrator でクライアントがログオンした時

     

    もしかしたら、セキュリティログのアクセス許可が関係してるのかもしれません...が、そもそも書き込み権限の操作はできません。

     

    また、調べてみます。

    2007年12月22日 17:35
    モデレータ

すべての返信

  • チャブーンです。

     

    Windows Server 2003 32bit でちょっとみてみましたが、現状再現できない事象っぽいです。x64 では試してませんが。

     

    試した環境としては、

    ・Active Directory ドメインコントローラ上の共有フォルダ

    ・ドメイン参加したクライアントからアクセス

     

    で、イベント ID 567 はちゃんとでますね。アクセス許可も疑ってみましたが、関係はないようです。

     

    そちらの発生環境の詳細がいただければ、ちょっと確認できるかもしれないですね。

     

    2007年12月20日 4:06
    モデレータ
  • チャブーンさん, 確認ありがとうございます。

     

    ID 567 が発生しているとのこと、了解しました。
    私の環境に依存している可能性がありますので、設定をひとつづつ確認したいと思います。

     

    【環境】

     3 台でテスト環境を構築しています。
     すべて Virtual Server 2005 R2 SP1 のゲスト OS としています。

     

    1.AD 用サーバ
     OS: Windows Server 2003 Enterprise Edtion R2
     機能: Active Directory, DNS
    2.ファイルサーバ
     OS: Windows Server 2003 Enterprise Edition R2
     機能: ファイル共有サーバ

    3.クライアント

     OS: Windows XP SP2

     

     すべて、最新のセキュリティ修正プログラム、重要な更新プログラムを適用済み。
     ウィルス対策ソフトは利用していません。

     

    よろしくお願いいたします。

    2007年12月21日 5:38
  • チャブーンです。

     

    なるほど。私の方でもほぼ同じ環境で再度確認(Domain Users に対して監査)しましたが、どうやらおっしゃるようにイベント ID 567 がフォルダやファイルベースでは発生しないようです。

     

    ファイルサーバ自身が認証を代行していないといけないのかな、と思い"コンピュータを委任に対して信頼する"をファイルサーバのオブジェクトに設定しましたが、やはり表示されません。

     

    もう少し調べてみようかと思います。

    2007年12月22日 9:50
    モデレータ
  • チャブーンです。

     

    もう少し調べたところ、現状では以下の条件でのみアクセス時に567イベントが記録されるようです。

     

    ・ドメインコントローラ上の共有フォルダ

    ・ドメイン\Administrator でクライアントがログオンした時

     

    もしかしたら、セキュリティログのアクセス許可が関係してるのかもしれません...が、そもそも書き込み権限の操作はできません。

     

    また、調べてみます。

    2007年12月22日 17:35
    モデレータ
  • こんにちは~

     

    チャブーン さん、一生懸命調べていただきありがとうございます! もしかするとすでに見つけられているかもしれませんので、その場合はごめんなさいですが、参考になりそうな KB  がありましので、リンクを貼っておきますね

     

    325898 Windows Server 2003 Enterprise Edition での操作ベースの監査の設定方法と管理方法
    http://support.microsoft.com/default.aspx?scid=kb;JA;325898

     

    今後ともよろしくお願いいたします。

    2007年12月28日 2:38
  • チャブーンです。

     

    情報をいただき、ありがとうございます。

     

    この件ですが、設定の仕方がわからない、ということではなく、設定の結果本来表示されるべき(ドキュメントにはそう書いてある)特定イベントだけが表示されない、というところが問題となっています。

     

    監査ポリシーや共有フォルダの設定を行い(everyone についてすべてのプロパティを有効にしてあります)、該当以外のイベントはきちんと記録されています。

     

    軽々しくはいえませんが、状況からなにかの不具合、または該当ドキュメント側の問題(実は特定状況下のみで記録されるなど)の可能性もないわけではない、と考えています。もっと調べないとわからないではありますが。

    2008年1月8日 17:18
    モデレータ
  • ども~

     

    なるほど、不具合かもしれないという事で、もしかするとすでにサポートに質問がきているかもしれないと思い、3 時間ぐらい社内の DB を様々なキーワードで検索をかけてみましたが、監査の設定方法に関する質問はかなり多くあり、その説明の中で 567 が発生する事も触れられているのですが、その後 567 が上がってこないという質問は来ていないようなのです

     

    SP に依存したりするかもしれないので、一概には言えないのですが、構成としてはよくある話のはずなので、すべてにおいて発生しないとなると、それはそれで監査に厳しくなっている昨今かなり問題になるでしょうしねぇ。

     

    再現手順がはっきりしているなら、サポートへ直接問い合わせていただいた方が早いかもしれませんね~。

    2008年1月11日 5:06
  • Yoshihiro Kawabata さん、こんにちは。

    フォーラムオペレーターの鈴木裕子です

    ご投稿からかなり時間が経ってしまいましたが、その後いかがでしょうか?

     

    その後の情報が気になるところではありましたが、

    チャブーン さんにご投稿いただいた情報をほかの皆様に活用していただきたく、

    勝手ながら私の方で回答チェックをつけさせていただきました。

    Yoshihiro Kawabata さんはチェックの解除ができますので、もし不適切でしたら修正をお願いします。

     

    回答チェックはスレッドの終了を意味するものではありませんので、

    引き続きの情報がありましたら、ぜひご投稿くださいね!

     

    これからもForumをよろしくお願いします。

    それでは。

    2008年8月22日 8:22
    モデレータ