クライアント(CT)で実施された、以下のドライブでのファイル操作やフォルダ操作のログです。
ローカルドライブ
ネットワークドライブ
注意
使用している環境によって、機能が制限される場合があります
ポリシーを設定した場合でも、使用している環境によって、機能が制限される場合があります。
詳細は、“1.2.22 ファイル操作ログ”を参照してください。
採取するために設定するポリシー
[端末初期設定]画面、または管理コンソール起動直後の画面(CTポリシー設定画面)で設定します。
[各種ログスイッチ]タブで、[ファイル操作ログ]に[する]を設定します。
[ファイル操作プロセス]タブで、ファイル操作ログのフィルタ条件を設定します。
[ファイル操作ログ]に[する]が設定されている場合に、設定できます。
[ファイル操作拡張子]タブで、どの拡張子のファイルを操作した場合にログを採取するかを設定します。
[ファイル操作ログ]に[する]が設定されている場合に、設定できます。
設定値の詳細は、“2.4.1.6 [ファイル操作プロセス]タブの設定”および“2.4.1.7 [ファイル操作拡張子]タブの設定”を参照してください。
表示内容
参照できるログの内容は以下のとおりです。
[名称]:クライアント(CT)の名称
[発生日時]:クライアント(CT)におけるログ採取日時
[ユーザー名]:以下の情報が表示されます。
ログオン時:クライアント(CT)のログオンユーザー名
未ログオン時:SYSTEM(固定)
[ドメイン名]:以下の情報が表示されます。
ドメインにログオン時:クライアント(CT)のドメイン名
ローカルコンピュータにログオン時:クライアント(CT)のコンピュータ名
未ログオン時:クライアント(CT)のコンピュータ名
[種別]:[ファイル操作] (固定値)
[区分]:正規
[付帯]:(表示されません)
[内容]:詳細は、“採取される操作ログ”を参照してください。
[内容]の表示例
操作:[変名]、ファイル名元:[C:¥Documents and Settings¥Administrator¥デスクトップ¥新規Microsoft Excel ワークシート.xls]、ドライブ種別元:[固定]、ファイル名先:[C:¥Documents and Settings¥Administrator¥デスクトップ¥顧客情報一覧.xls]、ドライブ種別先:[固定]、アプリ名:[Explorer.exe]
[備考]:(表示されません)
採取される操作ログ
ファイル操作ログのポリシーが設定されたクライアント(CT)で、ローカルドライブやネットワークドライブでファイルやフォルダを操作した場合に採取されるログについて説明します。
注意
以下のソフトウェア・コマンドについて説明します。
以下のソフトウェアやコマンドの場合、操作ログは、後述する表のように採取されます。
エクスプローラ
メモ帳
ワードパッド
Microsoft® Word(2000、2002、2003、および2007の場合) (注)
Microsoft® Excel(2000、2002、2003、および2007の場合) (注)
Microsoft® PowerPoint®(2000、2002、2003、および2007の場合) (注)
コマンドプロンプト中のコマンド(COPY、XCOPY、MOVE、DEL、ERASE、RD、REN、MD)
注)Windows Vista®またはWindows Server® 2008の場合は、2003、2007だけサポートしています。
ただし、以下の点に注意してください。
Microsoft® Wordによる「更新」操作は[作成]としてログが採取されます。
エクスプローラやXCOPYのように[ファイル操作プロセス]タブで[参照以外を取得]として登録してあるプロセスは、[参照]のログは採取されません。
上記のソフトウェアやコマンドの場合でも、余分なログが採取されることがあります。
上記以外のソフトウェアやコマンドの場合には、実際の操作と異なる操作ログが採取されることがあります(たとえば、「複写」や「移動」のログが採取できず、[参照]、[作成]、[削除]、または[変名]としてログが採取されます)。
コマンドプロンプトで、リダイレクト処理( > または >> )を使用した場合、ログが出力されないことがあります。
クライアント(CT)でファイルやフォルダを操作したときに採取されるログの種別は、以下のとおりです。
ログ種別 | ログビューアの[内容]の表示 |
|---|---|
参照 | 操作:[参照]、ファイル名:[(注1)]、ドライブ種別:[(注2)]、アプリ名:[(注5)] |
更新 | 操作:[更新]、ファイル名:[(注1)]、ドライブ種別:[(注2)]、アプリ名:[(注5)] |
作成 | 操作:[作成]、ファイル名:[(注1)]、ドライブ種別:[(注2)]、アプリ名:[(注5)] |
削除 | 操作:[削除]、ファイル名:[(注1)]、ドライブ種別:[(注2)]、アプリ名:[(注5)] |
複写 | 操作:[複写]、ファイル名元:[(注1)]、ドライブ種別元:[(注2)]、 |
移動 | 操作:[移動]、ファイル名元:[(注1)]、ドライブ種別元:[(注2)]、 |
変名 | 操作:[変名]、ファイル名元:[(注1)]、ドライブ種別元:[(注2)]、 |
注1) ローカルドライブの場合、操作対象の元となるファイル名またはフォルダ名(フルパスで表示されます)
ネットワークドライブの場合、操作対象の元となるファイル名またはフォルダ名(UNC表記またはUNC表記のマシン名の部分がIPアドレスで表示されます)
注2) 操作対象の元となるドライブの種別
注3) ローカルドライブの場合、操作対象の先となるファイル名またはフォルダ名(フルパスで表示されます)
ネットワークドライブの場合、操作対象の先となるファイル名またはフォルダ名(UNC表記またはUNC表記のマシン名の部分がIPアドレスで表示されます)
ただし、以下の場合は、ファイル名またはフォルダ名(フルパスで表示されます)
ネットワークドライブにドライブレターの割り当てを行い、割り当てたドライブレターから変名の操作を行った
ネットワークドライブにドライブレターの割り当てを行い、割り当てたドライブレター内で移動の操作を行った
ネットワークドライブとして割り当てたドライブレターに対して、割り当てたドライブレターと同じネットワークドライブに直接アクセスしたフォルダから移動の操作を行った
注4) 操作対象の先となるドライブの種別
注5) 操作したアプリケーション名
前述した“ログ種別”がどのような条件下で、どのような操作を行ったときに採取できるかについて、以下に示します。
条件 | ファイルやフォルダへの操作 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
参照 | 更新 | 作成 | 削除 | 複写 | 移動 | 変名 | |||
ファイル | ファイルに | 同じドライブ内 | 参照 (注3) | 更新 (注3) | 作成 | 削除 | 複写 | 変名 | 変名 |
異なるドライブ間 | - | - | - | - | 複写 | 移動 | - | ||
フォルダ | フォルダ配下のファイルに | 同じドライブ内 | - | - | - | 削除 | 複写 | ×(注4) | - |
異なるドライブ間 | - | - | - | - | 複写 | 移動 | - | ||
フォルダに | 同じドライブ内 | - | - | 作成 | 削除 | 作成 | 変名 | 変名 | |
異なるドライブ間 | - | - | - | - | 作成 | 作成 | - | ||
-:不可能な操作です。
×:操作ログを採取できません。
参照/更新/作成/削除/複写/移動/変名:採取される操作ログの種別を示します。
( ):複写先または移動先に同名のファイルやフォルダが存在していた場合に採取される操作ログの種別を示します。( )のない場合は、記述されているログの種別が採取されます。
注1) 同じローカルドライブ内または同じネットワークドライブ内での操作です。たとえば、以下の場合です。
ローカルドライブ内でのCドライブからCドライブへの操作
ネットワークドライブ「¥¥dtk¥common¥」内での操作
注2) 異なるローカルドライブ間、ローカルドライブとネットワークドライブ間、または異なるネットワークドライブ間での操作です。たとえば、以下の場合です。
ローカルドライブ内でのCドライブからDドライブへの操作
ローカルドライブとネットワークドライブ間での操作
ネットワークドライブ「¥¥dtk¥common¥」からネットワークドライブ「¥¥dtk¥com¥」への操作
注3) エクスプローラやコマンドプロンプトでのファイルのプロパティ参照は、ログの対象となりません。
注4) 移動元と移動先のフォルダ名が同じ場合、移動元のフォルダ配下には存在し、移動先のフォルダ配下には存在しないファイルに対してだけ、[変名]ログが採取されます。
上記表の見方と出力されるログについて、例を用いて説明します。
同じローカルドライブ内でファイル操作として、参照を行った場合、前述したログの種別の「参照」に示されているログが採取されます。
次にログビューアからログを参照している画面を表示します。枠で囲んだ部分が、この場合に採取されたログになります。
上記画面の枠で囲んだ[内容]欄には、以下のように表示されています。
操作:[参照]、ファイル名:[D:¥report.doc]、ドライブ種別:[固定]、アプリ名:[winword.exe]
この場合、Dドライブの直下にある「report.doc」ファイルが、Wordにより参照されたことを示しています。
同じローカルドライブ内でファイル操作として、複写を行った場合、複写先に同名のファイルが存在していた、または存在しなかったに関わらず、前述したログの種別の「複写」に示されているログが採取されます。
ログビューアの[内容]欄に表示されるログの例を以下に示します。
操作:[複写]、ファイル名元:[D:¥report.doc]、ドライブ種別元:[固定]、ファイル名先:[D:¥tmp¥report.doc]、ドライブ種別先:[固定]、アプリ名:[Explorer.exe]
この場合、Dドライブの直下にある「report.doc」ファイルが、エクスプローラで「D:¥tmp」に複写されたことを示しています。
ローカルドライブでフォルダ操作として、空のフォルダを異なるドライブに移動した場合、移動先に同名のフォルダが存在しなかったとき、前述したログの種別の「削除」と「作成」に示されている2つのログが採取されます。
ログビューアの[内容]欄に表示されるログの例を以下に示します。
操作:[作成]、ファイル名:[D:¥log]、ドライブ種別:[固定]、アプリ名:[Explorer.exe] 操作:[削除]、ファイル名:[C:¥log]、ドライブ種別:[固定]、アプリ名:[Explorer.exe]
この場合、Cドライブの直下にある「log」フォルダが、エクスプローラでDドライブの直下に移動されたことを示しています。
ローカルドライブでフォルダ操作として、空のフォルダを異なるドライブに移動した場合、移動先に同名のフォルダが存在していたとき、前述したログの種別の「削除」に示されているログが採取されます。
ログビューアの[内容]欄に表示されるログの例を以下に示します。
操作:[削除]、ファイル名:[C:¥log]、ドライブ種別:[固定]、アプリ名:[Explorer.exe]
この場合、Cドライブの直下にある「log」フォルダが、エクスプローラで異なるドライブに移動され、移動先に同名のフォルダが存在していたことを示しています。
同じネットワークドライブ内でファイル操作として、参照を行った場合、前述したログの種別の「参照」に示されているログが採取されます。
ログビューアの[内容]欄に表示されるログの例を以下に示します。
操作:[参照]、ファイル名:[¥¥dtk¥common¥report.doc]、ドライブ種別:[リモート]、アプリ名:[winword.exe]
この場合、「dtk」というマシンの「common」共有フォルダ直下にある「report.doc」ファイルが、Wordにより参照されたことを示しています。
