NTFS のファイル監査で監査がイベントログに記録されない

【目次】

ファイルやフォルダのアクセスを監査する

Windows において NTFS でフォーマットされたドライブはファイルやフォルダの監査をすることが可能です
指定したファイルやフォルダにアクセスがあった場合、記録を残すことが可能です。
設定は主に以下の両方が必要です。

(1)エクスプローラ上でのファイルやフォルダの監査設定
(2)グループポリシーでの監査設定

gpedit.msc で設定します。

グループポリシーエディタの使用方法

グループポリシーでファイル監査を設定する

(1)と(2)両方設定することによりファイルのアクセス監査が可能となります。

ただし大量にセキュリティログが記録される点に注意してください。

C:\temp\test.txt に監査設定した場合のサンプルです。Windows イベントログのセキュリティログに記録されます。



成功の監査	2023/01/10 15:50:23	Microsoft-Windows-Security-Auditing	4663	Removable Storage	"オブジェクトへのアクセスが試行されました。



サブジェクト:

	セキュリティ ID:		TESTDOMAIN\Administrator

	アカウント名:		Administrator

	アカウント ドメイン:		TESTDOMAIN

	ログオン ID:		0x6FFC3



オブジェクト:

	オブジェクト サーバー:		Security

	オブジェクトの種類:		File

	オブジェクト名:		C:\temp\test.txt

	ハンドル ID:		0x440

	リソース属性:	S:AI

記録されない

上記設定を行ってもWindows イベントログに記録されない場合があります。
以下の点をチェックしてください。

(1)監査対象
監査対象のユーザを確認してください。すべてのユーザなら everyone となります。

監査のプリンシパルを確認する

(2)ポリシー
ポリシーを設定してからそのポリシーが適用されていない可能性があります。コマンドを実行します。



C:\gpupdate /force

ポリシーを最新の情報に更新しています...



コンピューター ポリシーの更新が正常に完了しました。

ユーザー ポリシーの更新が正常に完了しました。

(3)監査ポリシーと高度な監査ポリシー
両方を確認します。矛盾が発生していないか確認します。

(ご注意) 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。本ページは独自に調査をしたアンオフィシャル(非公式)な内容です。内容に誤りがある可能性や仕様変更により内容が不正確になる可能性があります。本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。このページはリンクフリーです。(このページへの直接リンクも可能です。)

Copyright(c) TOOLJP.COM 1999-2022

[Windows Server 2019 FAQ 一覧に戻る]