none
Windows Server 2012 R2でファイル削除時にEventID4660が記録されません RRS feed

  • 質問

  • 質問させて下さい。

    Windows Server 2012 R2上でファイルサーバを運用しています。

    この度、ファイルアクセスについて監査を行うことにしました。

    そこでテストを行ったのですが、クライアントPCからファイルサーバ上のファイルを削除してもEventID:4660が記録されません。

    EventID:4659は記録されています。

    他の4656,4658,4663も記録されています。

    フォルダの削除を行った場合はEventID:4660が記録されますが逆に4659は記録されません。

    原因と対策を教えて下さい。

    ボリュームシャドウコピーは有効にしています。

    よろしくお願いいたします。

    2017年12月15日 9:19

回答

  • はじめまして。

    私の Win2012R2 でオブジェクトアクセスの監査ポリシーを有効にし、以下画像の通り、共有フォルダ(abc)に監査設定をしたところ、ファイル・フォルダどちらを削除した場合においてもイベントID 4656・4663・4660・4658 が記録されました。なお、イベントID 4659 は記録されませんでした。

    質問文の事象の考えられる原因として、上記画像の "適用先" がフォルダのみになっている可能性があるかと思います。こちらをファイル・フォルダ双方を含むように設定を変更すると、問題が解消するかもしれません。

    以上、上記回答が参考になれば幸いです

    • 回答としてマーク カーマ 2017年12月21日 8:55
    2017年12月17日 3:41
  • カーマさん。

    ざあますです。

    はじめに、先ほどの私からの回答について 1 点訂正させてください。

    >イベントID 4656・4663・4660・4658 が記録されました。
     ファイル・フォルダ削除時に、正しくはイベントID 4663・4660・4658 (ID 4656 は無し) が記録されていました。

    本件について、私が設定した内容は以下の通り最小限のものとなります。、

    ・監査ポリシー:"オブジェクトアクセスの監査" ポリシーのみ有効
    ・フォルダ設定:"削除" のみ有効 (上記画像の通り)

    上記のカーマさんからのご質問の内容から、監査ポリシーやフォルダ設定で、私が実施したものと幾つか設定が異なるかと推測します。もしもファイル・フォルダの削除のみの監査を実施されたい場合は、一旦上記の通り最小限の設定にすることで意図した挙動になるかどうか、ご確認いただければと思います。
    なお、イベントID 4656、4659 は上記以外の監査ポリシーを有効にしているため、記録されているのではと推測します。

    以上、上記回答が参考になれば幸いです。


    • 編集済み Zaamasu 2017年12月17日 7:51
    • 回答としてマーク カーマ 2017年12月21日 8:54
    2017年12月17日 7:47

すべての返信

  • はじめまして。

    私の Win2012R2 でオブジェクトアクセスの監査ポリシーを有効にし、以下画像の通り、共有フォルダ(abc)に監査設定をしたところ、ファイル・フォルダどちらを削除した場合においてもイベントID 4656・4663・4660・4658 が記録されました。なお、イベントID 4659 は記録されませんでした。

    質問文の事象の考えられる原因として、上記画像の "適用先" がフォルダのみになっている可能性があるかと思います。こちらをファイル・フォルダ双方を含むように設定を変更すると、問題が解消するかもしれません。

    以上、上記回答が参考になれば幸いです

    • 回答としてマーク カーマ 2017年12月21日 8:55
    2017年12月17日 3:41
  • ざあます様、はじめまして。

    ご回答有難うございます。

    こちらの情報提供が少なくてお手数をおかけしました。

    設定を確認してみました。

    私のアカウントでは画像を添付できないようですので、文章で書きます。

    "種類"は"すべて"、"適用先"は”このフォルダー、サブフォルダーおよびファイル"

    アクセス許可は"削除"も含めて全てチェックを入れています。


    ざあます様の環境では4659が記録されなかったとのことでますます混乱しています。

    イベントの内容からしてフォルダ削除の際にも記録されるのが正しいのだと思ったのですが…。

    2017年12月17日 4:30
  • カーマさん。

    ざあますです。

    はじめに、先ほどの私からの回答について 1 点訂正させてください。

    >イベントID 4656・4663・4660・4658 が記録されました。
     ファイル・フォルダ削除時に、正しくはイベントID 4663・4660・4658 (ID 4656 は無し) が記録されていました。

    本件について、私が設定した内容は以下の通り最小限のものとなります。、

    ・監査ポリシー:"オブジェクトアクセスの監査" ポリシーのみ有効
    ・フォルダ設定:"削除" のみ有効 (上記画像の通り)

    上記のカーマさんからのご質問の内容から、監査ポリシーやフォルダ設定で、私が実施したものと幾つか設定が異なるかと推測します。もしもファイル・フォルダの削除のみの監査を実施されたい場合は、一旦上記の通り最小限の設定にすることで意図した挙動になるかどうか、ご確認いただければと思います。
    なお、イベントID 4656、4659 は上記以外の監査ポリシーを有効にしているため、記録されているのではと推測します。

    以上、上記回答が参考になれば幸いです。


    • 編集済み Zaamasu 2017年12月17日 7:51
    • 回答としてマーク カーマ 2017年12月21日 8:54
    2017年12月17日 7:47
  • ざあます様、ご回答有難うございます。カーマです。

    > ・監査ポリシー:"オブジェクトアクセスの監査" ポリシーのみ有効

    監査ポリシーはこの設定にしていました。

    > ・フォルダ設定:"削除" のみ有効 (上記画像の通り)

    テスト用のサブフォルダをこの設定にして試してみました。

    結果、やはりファイル削除時に記録されるイベントに変化はなく、4663,4658,4659,4656です。フォルダ削除時は4663,4660,4658,4656でした。

    一応、削除のイベントは記録されるので良しとしましょうか…。

    2017年12月19日 5:15