ファイル システムの監査
注意
古いオペレーティング システムのバージョンでの適用性の詳細については、ファイル システムの 監査に関する記事を参照してください。
監査ファイル システムは、ユーザーがファイル システム オブジェクトにアクセスしようとしたときにオペレーティング システムが監査イベントを生成するかどうかを決定します。
監査イベントは、システム アクセス制御リスト (SACLs) が構成されているオブジェクトに対してのみ生成され、要求されたアクセスの種類 (書き込み、読み取り、変更など) と、要求を行うアカウントが SACL の設定と一致する場合にのみ生成されます。
成功監査が有効になっている場合、一致する SACL を持つファイル システム オブジェクトにアカウントが正常にアクセスするたびに監査エントリが生成されます。 失敗監査が有効になっている場合、一致する SACL を持つファイル システム オブジェクトへのアクセスがユーザーが失敗するたびに監査エントリが生成されます。
これらのイベントは、機密性が高い、または重要であり、追加の監視が必要なファイル オブジェクトの追跡アクティビティに不可欠です。
イベント ボリューム: ファイル システム SACLの構成方法によって異なります。
既定のファイル システム SACLの監査イベントは生成されません。
このサブカテゴリを使用すると、ユーザーがファイル システム オブジェクト、ファイル システム オブジェクトの削除、アクセス許可の変更操作、およびハード リンク作成アクションへのアクセス試行を監査できます。
"4658: オブジェクトへのハンドルが閉じられました" という 1 つのイベントのみが 、監査ハンドル操作 サブカテゴリに依存します (成功監査を有効にする必要があります)。 その他のすべてのイベントは、追加の構成なしで生成されます。
| コンピューターの種類 | 一般的な成功 | 一般的なエラー | より強力な成功 | より強力なエラー | コメント |
|---|---|---|---|---|---|
| ドメイン コントローラー | もし | もし | もし | もし | ファイル システム セキュリティ監視ポリシーを開発し、さまざまなオペレーティング システム テンプレートとロールのファイル システム オブジェクトに適切な SACLを定義することを強くお勧めします。 収集された情報の使用方法と分析方法を計画していない場合は、このサブカテゴリを有効にしないでください。 また、非有効で余分な SACLs を削除することも重要です。 それ以外の場合、監査ログは役に立たない情報でオーバーロードされます。 エラー イベントでは、特定のファイル システム オブジェクトへのアクセスが失敗したと表示される場合があります。 ファイル システム セキュリティ監視ポリシーを開発した後、まず重要なコンピューターに対してこのサブカテゴリを有効にすることを検討してください。 |
| メンバー サーバー | もし | もし | もし | もし | |
| ワークステーション | もし | もし | もし | もし |
イベント リスト:
フィードバック
フィードバックの送信と表示