お気に入り
はてな
Buzzurlファイルサーバー監査(ファイル)
ファイル監査
ファイルアクセスの監査について説明します。
ファイルアクセス関連のイベントログは、以下の順に発生します。
1) ログオン
2) ファイルオープン
3) ファイルアクセス
4) ファイルクローズ
5) ログオフ
ログオン/ログオフについては 前回 説明したので、そちらを参照して下さい。
ファイルアクセス関係のイベントログは、イベントログ・セキュリティに登録されます。
イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
| イベントID | 意味 | 説明に含まれる情報 |
| 560 | ファイルオープン | 種類、ファイル名、ハンドルID、プロセスID、ユーザー名、ドメイン名、操作内容 |
| 567 | ファイルアクセス | ハンドルID、種類、プロセスID、操作内容 |
| 564 | ファイル削除 | ハンドルID、プロセスID |
| 562 | ファイルクローズ | ハンドルID、プロセスID |
ファイルアクセスの監査を行う場合、イベントID 567(ファイルアクセス)、564(ファイル削除)からスタートします。
イベントID 567(ファイルアクセス)には ハンドルID、プロセスID、操作内容が記録されます。
ハンドルID、プロセスIDが一致するイベントID 560(ファイルオープン)を探し、ファイル名、ユーザー名、ドメイン名を対応づけします。
また、イベントID 560(ファイルオープン)とログオンIDが一致する イベントID 540,528(ログオン)を探し、ログオン時間を対応づけします。
対応づけが完了したら、どのファイルに、いつ、どのユーザーが、どのようなアクセスをしたかがわかります。
操作内容には 以下の値がはいります。
| 値 | 説明 |
| DELETE | オブジェクトの削除 |
| READ_CONTROL | オブジェクトのセキュリティ情報の読取り |
| WRITE_DAC | オブジェクトのアクセス権の変更 |
| WRITE_OWNER | オブジェクトの所有者の変更 |
| SYNCHRONIZE | オブジェクトを使った同期処理 |
| ReadData(または ListDirectory) | フォルダ・ファイルの読取り |
| WriteData(または AddFile) | フォルダへのファイル操作、ファイルへの書込み |
| AppendData(または AddSubDirectory または CreatePipeInstance) | データの追加、フォルダの作成 |
| ReadEA | 拡張属性の読取り |
| WriteEA | 拡張属性の書込み |
| 実行/スキャン | フォルダのスキャン、ファイルの実行 |
| DeleteChild | フォルダとフォルダ内のファイル削除 |
| ReadAttributes | 属性の読取り |
| WriteAttributes | 属性の書込み |
イベントID 564(ファイル削除)には ハンドルID、プロセスIDが記録されます。操作内容は イベントIDがファイル削除をあらわすので、説明欄には記録されません。
イベントID 567(ファイルアクセス)と同様に、イベントID 560(ファイルオープン)、イベントID 540,528(ログオン)を探し、対応づけします。
分析、監査作業の省力化には・・・
ファイルアクセスの監査は 上記の通りなのですが、実際の運用で手作業でオープン/アクセスの対応をとるのは困難です。
また、ファイルアクセスの失敗などのイベントをフィルタリングして セキュリティ侵害の可能性を検知することも 手作業では困難です。
そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベント分析ツール WhiteFox EventLog Analyzer 2007」というツールを販売しています。
イベント分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析し、監査レポートを作成するツールです。
プリンタ監査
イベントログ
概要
概要 ログの種別 ログの内容 Vistaのログ監査
監査ログ出力 ログオン監査 ファイル監査 プリンタ監査書込み
WIN32API書込 .NET書込表示の仕組み
表示の仕組み調べ方
調べ方
まだ増え続けるPCをExcelで管理しますか?
あなたのサーバーは本当に動いていますか?
ついに手数料0円に!■伊藤忠グループ・FXプライム■
ファーストサーバ
