詳細ファイル共有の監査
詳細ファイル共有の監査
詳細ファイル共有の監査を使用すると、共有フォルダー内のファイルやフォルダーへのアクセス試行を監査することができます。
詳細ファイル共有設定は、ファイルやフォルダーがアクセスされるたびにイベントを記録しますが、ファイル共有設定はクライアントとファイル共有間で確立された接続ごとに1つのイベントのみを記録します。詳細ファイル共有の監査イベントには、アクセスを許可または拒否するために使用された権限やその他の基準に関する詳細情報が含まれます。
共有フォルダーにはシステムアクセス制御リスト (SACL) はありません。このポリシー設定が有効になっている場合、システム上のすべての共有ファイルおよびフォルダーへのアクセスが監査されます。
イベントボリューム:
ファイルサーバー上で高い。
グループポリシーによって必要とされるSYSVOLネットワークアクセスのため、ドメインコントローラー上で高い。
メンバーサーバーおよびワークステーション上で低い。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強化された成功 | 強化された失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | いいえ | はい | いいえ | はい | ドメインコントローラーでこのサブカテゴリの監査成功を有効にすると、特にSYSVOL共有のためにイベントのボリュームが高くなる傾向があります。失敗アクセス試行の監視をお勧めします: ボリュームは高くないはずです。ネットワーク共有上のファイルやフォルダーにアクセスできなかったユーザーを確認することができます。 |
| メンバーサーバー | IF | はい | IF | はい | IF – サーバーが通常多くのアクセス要求を受ける共有ネットワークフォルダーを持っている場合(例: ファイルサーバー)、イベントのボリュームが高くなる可能性があります。共有フォルダーにあるすべてのファイルやフォルダーへのすべての成功アクセスイベントを追跡する必要がある場合は、成功監査を有効にするか、ファイルシステムの監査サブカテゴリを使用してください。ただし、そのサブカテゴリは、クライアントのIPアドレスなど、詳細ファイル共有の監査に含まれる情報の一部を除外します。メンバーサーバーの失敗イベントのボリュームは高くないはずです(ファイルサーバーでない限り)。失敗監査を使用すると、このコンピューター上のネットワーク共有でファイルやフォルダーにアクセスできないユーザーを確認することができます。 |
| ワークステーション | IF | はい | IF | はい | IF – ワークステーションが通常多くのアクセス要求を受ける共有ネットワークフォルダーを持っている場合、イベントのボリュームが高くなる可能性があります。共有フォルダーにあるすべてのファイルやフォルダーへのすべての成功アクセスイベントを追跡する必要がある場合は、成功監査を有効にするか、ファイルシステムの監査サブカテゴリを使用してください。ただし、そのサブカテゴリは、クライアントのIPアドレスなど、詳細ファイル共有の監査に含まれる情報の一部を除外します。ワークステーションの失敗イベントのボリュームは高くないはずです。失敗監査を使用すると、このコンピューター上のネットワーク共有でファイルやフォルダーにアクセスできないユーザーを確認することができます。 |
イベントリスト:
- 5145(S, F): クライアントに希望するアクセス権を付与できるかどうかを確認するために、ネットワーク共有オブジェクトがチェックされました。