ファイル共有の監査
IT 担当者向けのこのトピックでは、セキュリティ監査ポリシーの詳細設定、[ファイル共有の監査] について説明します。これは、ファイル共有にアクセスしたときにオペレーティング システムが監査イベントを生成するかどうかを決定します。
共有が作成、削除されたときや、共有のアクセス許可が変更されたとき、監査イベントは生成されません。
注
共有にはシステム アクセス制御リスト (SACL) がないため、この設定を有効にすると、システム上のすべての共有へのアクセスが監査されます。
ファイル システムの監査と組み合わせてファイル共有の監査を使うと、アクセスされたコンテンツ、要求のソース (IP アドレスとポート)、およびアクセスに使用されたユーザー アカウントを追跡することができます。
イベント ボリューム: ファイル サーバーまたはドメイン コントローラーでは高 (ポリシーの処理のためにクライアント コンピューターによってアクセスされる SYSVOL アクセスが原因)
既定: 構成されていません
| イベント ID | イベント メッセージ |
|---|---|
5140 |
ネットワーク共有オブジェクトにアクセスがありました。 注このイベントは、Windows 10、Windows Server 2016 Technical Preview、Windows Server 2008 R2、Windows Server 2008、Windows 7、または Windows Vista を実行しているコンピューターで記録されます。 |
5142 |
ネットワーク共有オブジェクトが追加されました。 |
5143 |
ネットワーク共有オブジェクトが変更されました。 |
5144 |
ネットワーク共有オブジェクトが削除されました。 |
5168 |
SMB/SMB2 の SPN チェックに失敗しました。 |