監査ファイル共有
監査ファイル共有
監査ファイル共有を使用すると、ファイル共有に関連するイベント(作成、削除、変更、およびアクセス試行)を監査できます。また、失敗したSMB SPNチェックも表示されます。
共有にはシステムアクセス制御リスト(SACL)がないため、この設定を有効にすると、システム上のすべての共有へのアクセスが監査されます。
ファイルシステム監査と組み合わせることで、ファイル共有監査は、どのコンテンツがアクセスされたか、リクエストの発信元(IPアドレスとポート)、およびアクセスに使用されたユーザーアカウントを追跡することができます。
イベントボリューム:
ファイルサーバーで高い。
グループポリシーによって必要とされるSYSVOLネットワークアクセスのため、ドメインコントローラーで高い。
メンバーサーバーおよびワークステーションで低い。
| コンピュータータイプ | 一般的な成功 | 一般的な失敗 | 強力な成功 | 強力な失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | はい | はい | はい | はい | ネットワーク共有の削除、作成、および変更イベントを追跡するために、ドメインコントローラーに対して成功監査を推奨します。失敗したSMB SPNチェックおよびネットワーク共有への失敗したアクセス試行を追跡するために、失敗監査を推奨します。 |
| メンバーサーバー | はい | はい | はい | はい | ネットワーク共有オブジェクトの削除、作成、変更、およびアクセス試行を追跡するために、成功監査を推奨します。失敗したSMB SPNチェックおよびネットワーク共有への失敗したアクセス試行を追跡するために、失敗監査を推奨します。 |
| ワークステーション | はい | はい | はい | はい | ネットワーク共有オブジェクトの削除、作成、変更、およびアクセス試行を追跡するために、成功監査を推奨します。失敗したSMB SPNチェックおよびネットワーク共有への失敗したアクセス試行を追跡するために、失敗監査を推奨します。 |
イベントリスト: