Windows EventLOGについて

---

現在WindowsのEventLOG(セキュリティー）を使用してファイルの監査
を行う仕組（プログラム）みを検討しています。

そこで不明箇所があります。

その内容は、Server（ＰＣ）に直にログインして監査対象のディレクトリー
内ファイルに参照・書き込み・削除の操作を行った場合はEventID567より
処理内容の追跡が可能ですが、この監査対象のディレクトリーを「共有」してＣｌｉｅｎｔ（ＰＣ）よりファイルに参照・書き込み・削除を行った場合EventID567が発生しません。

この違いがあって現在監査対象のファイルの処理内容の追跡処理が出来ない
状況にあります。

この違いについて、ご教授願います。

補足説明ですが下記の資料で、ネットワーク共有されたファイルの変更とローカル
ファイルの変更ともEventID：５６７から操作内容の調査を開始できる旨の記載
がありますが、このEventID567がローカル時の変更では発生するがネットワーク共有時では発生しない、この違いです。
ファイルサーバー上のファイル操作における監査 (PDF 形式, 1.6MB)
 http://download.microsoft.com/download/A/5/8/A58AF361-D829-4EB6-B248-D552696AD81D/logauditfile.pdf

 現在WindowsのEventLOG(セキュリティー）を使用してファイルの監査 
を行う仕組みを検討しています。 

そこで不明箇所があります。 

その内容は、Server（ＰＣ）に直にログインして監査対象のディレクトリー 
内ファイルに参照・書き込み・削除の操作を行った場合はEvent567より 
処理内容の追跡が可能ですが、この監査対象のディレクトリーを「共有」 
ディレクトリーとしてＣｌｉｅｎｔ（ＰＣ）よりファイルに参照・書き込み 
・削除を行った場合Event567が発生しません。 

この違いがあって監査対象のファイルの処理内容の追跡が出来ない状況に 
あります。 

この違いについて、ご教授願います。 

--------------------------------------------------------------------------------
           
hideki2003

会議室デビュー日: 2005/05/17
投稿数: 4 投稿日時: 2007-09-01 12:56   
--------------------------------------------------------------------------------
 質問の補足説明ですが 
下記の資料で、ネットワーク共有されたファイルの変更とローカル 
ファイルの変更ともEventID：５６７から操作内容の調査を開始する手順ですが 
このEvent５６７がローカル時の変更では発生するがネットワーク共有時では発生 
しない、この違いです。 

ファイルサーバー上のファイル操作における監査 (PDF 形式, 1.6MB) 
http://download.microsoft.com/download/A/5/8/A58AF361-D829-4EB6-B248-D552696AD81D/logauditfile.pdf

---

System.IO.FileSystemWatcherクラスによる監視方法ではダメ
なのでしょうか？

ローカルとリモートの両方からのファイルの変更監視に使用
していますが、今のところ問題となったケースはありません。

ただし、非常に高速・大量なファイルの変更が発生した場合
は、取りこぼす場合もあろうかと・・・

以上。

---

名前

ホームページ(ブログ、Twitterなど)のURL (省略可)

本文

←解決時は質問者本人がここをチェックしてください。

※返信する前に利用規約をご確認ください。

ツイート