Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

代替 NTFS データストリームを監査する際の考慮事項

共同作成者
PDF

NTFS 代替データストリームを持つファイルを監査する場合は、一定の考慮事項に注意する必要があります。

監査対象のオブジェクトの場所は、2つのタグ()を使用してイベントレコードに記録されます ObjectName タグ(パス)および HandleID タグ(ハンドル)。ログに記録されるストリーム要求を適切に識別するには、 NTFS 代替データストリームでこれらのフィールドに記録される ONTAP レコードを把握しておく必要があります。

  • EVTX ID : 4656 のイベント(オープンおよび作成の監査イベント)

    • 代替データストリームのパスはに記録されます ObjectName タグ。

    • 代替データストリームのハンドルはに記録されます HandleID タグ。

  • EVTX ID : 4663 のイベント(読み取り、書き込み、属性の取得など、その他すべての監査イベント)

    • 代替データストリームではなく、ベースファイルのパスがに記録されます ObjectName タグ。

    • 代替データストリームのハンドルはに記録されます HandleID タグ。

次の例は、を使用して代替データストリームのEVTX ID:4663イベントを特定する方法を示しています HandleID タグ。にもかかわらず ObjectName 読み取り監査イベントで記録されるタグ(パス)は、ベースファイルパスであるへのパスです HandleID タグを使用すると、イベントを代替データストリームの監査レコードとして識別できます。

ストリームファイル名はの形式になります base_file_name:stream_name。この例では、を使用しています dir1 ディレクトリには、次のパスを持つ代替データストリームを持つベースファイルが含まれています。

/dir1/file1.txt
/dir1/file1.txt:stream1
メモ

次のイベント例の出力はご覧のように省略されています。この出力にはイベントで使用可能なすべての出力タグが表示されているわけではありません。

EVTX ID 4656(オープン監査イベント)の場合、代替データストリームの監査レコード出力に代替データストリーム名が記録されます ObjectName タグ:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4656</EventID>
  <EventName>Open Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\>          **
  [...]
  </EventData>
  </Event>
- <Event>

EVTX ID 4663(読み取り監査イベント)の場合、同じ代替データストリームの監査レコード出力にベースファイル名が記録されます ObjectName タグ。ただし、のハンドル HandleID タグは代替データストリームのハンドルであり、このイベントを代替データストリームと関連付けるために使用できます。

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4663</EventID>
  <EventName>Read Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> **
  [...]
  </EventData>
  </Event>
- <Event>