圧縮ツール(ZIP、LZH、マイクロソフト社から提供されているツールなど)による圧縮・解凍の操作ログからファイル追跡機能を利用することができません。
Internet Explorer®、またはWindowsのエクスプローラに機能を追加するアプリケーションの操作ログは、採取されません。
OSがWindows Vista®、Windows Server® 2008、Windows® 7、Windows® 8、またはWindows Server® 2012でUACで権限昇格を許可し操作を続行した場合、アプリケーション名(ログビューアの[ログ一覧]の[内容]に表示されます)はアプリケーション名ではなく、「dllhost.exe」としてログが採取されます。
[ファイルを開く]ダイアログで表示されているファイルがある場合、ファイルをオープンしていなくても、参照ログが取得されることがあります。
ファイルサイズが大きいファイルをコピーすると、ファイル操作ログが大量に採取される場合があります。
以下の場合、ファイルサイズが正常に取得できないときがあります。
30秒に満たない短い時間の間に、ファイルの移動や改名を繰り返したり、追加・削除を行ったり、操作後のファイルが存在するデバイスを取り外したりした場合
ログオフやシャットダウンの直前にファイル操作を行った場合
ドライブマッピングされたドライブのファイル操作ログは、Citrix XenDesktop、Citrix XenAppの場合に取得できます。
エクスプローラでユーザー環境変数のTEMP、TMPでファイルの作成を行った場合、[作成]ログは採取されません。
EXCELのファイル操作ログを採取する場合、以下の条件でも[参照]ログが作成されます。
ほかのシートへのリンクがあるEXCELを参照する、かつ
リンク先のファイルが存在しない
Windows® 8、Windows Server® 2012において、ワードパッドでdocxファイルを更新した場合、[更新]ログが出力されないことがあります。
以下のソフトウェアやコマンドの場合、操作ログは、“8.2.22 ファイル操作ログ”で説明されているように採取されます。
エクスプローラ
メモ帳
ワードパッド
Microsoft® Word(2000、2002、2003、2007、2010および2013の場合)
Microsoft® Excel(2000、2002、2003、2007、2010および2013の場合)
Microsoft® PowerPoint®(2000、2002、2003、2007、2010および2013の場合)
コマンドプロンプト中のコマンド(COPY、XCOPY、MOVE、DEL、ERASE、RD、REN、MD)
ただし、以下の点に注意してください。
Microsoft® Wordによる「更新」操作(新規保存および上書保存)は[作成]としてログが採取される
Microsoft® Word、Excel、PowerPointによる「作成」操作が[更新]としてログが採取されこるとがある(Microsoft® Office2013の場合)
エクスプローラやXCOPYのように[ファイル操作]で[参照以外を取得]として登録してあるプロセスは、[参照]のログは採取されない
上記のソフトウェアやコマンドの場合においても、“8.2.22 ファイル操作ログ”に示す以外に余分なログが採取されることがある
上記以外のソフトウェアやコマンドの場合には、実際の操作と異なる操作ログが採取されることがある(たとえば、「複写」や「移動」のログが採取できず、[参照]、[作成]、[削除]、または[変名]としてログが採取される)
上記のソフトウェアやコマンドにおいて「移動」操作を行った場合、「複写」と移動元の「作成」のログが採取されることがある
コマンドプロンプトで、リダイレクト処理( > または >> )およびMDコマンドを使用した場合、ログが出力されない
DVDやCDに、ローカルドライブにあるデータをライティングソフトで書き込む場合、DVDやCDに対するアクセス情報が採取できないため[参照]としてログが採取されます。[複写]としては採取されません。
テープ装置への出力、RS-232C などのクロスケーブルによる通信、IrDA(赤外線装置)経由での操作などは、接続先のドライブ情報が取得できないため、ローカルドライブ側だけの情報を採取して、操作ログが作成されます。
サイズの大きなファイルを移動する場合(目安としては、1つのファイルの移動が上書き確認時の利用者操作を含めて30秒以上かかる場合)、ログが[複写]と移動元の[削除]の2つに分かれることがあります。
moveコマンドを使用して、同一ドライブ内で上書き移動した場合、上書き確認のプロンプトを30秒以上表示して、そのあとに上書きの操作を行うと、ログは[移動]ではなく[変名]となります。また、ほかのコマンドにおいても、上書き確認のプロンプトを表示したままの場合は、異なるログが採取されることがあります。
COPYコマンド(XCOPYコマンド)で「COPY A.TXT+B.TXT C.TXT」や「COPY *.TXT C.TXT」として実行した場合のログは、正常に採取できません。この場合、「C.TXT」の[作成]としてログが採取されます。
採取されるログの[ファイル名]、[ファイル名先]、または[ファイル名元]の情報は259バイトまで採取されます。
コマンドプロンプトでのファイル操作で存在しないパスを指定した場合、処理は失敗しますが、ログは採取されることがあります。
確認画面が表示される操作(例:上書き複写)を行った場合に、その操作を取り消したときもファイル操作ログが採取されることがあります。
Windows Vista®、Windows Server® 2008、Windows® 7、Windows® 8、Windows Server® 2012において、確認画面が表示される操作(上書き複写、上書き移動)を行った場合に、ログ種別に「複写」または「移動」として記録されないことがあります。(複写先ファイルまたは移動先ファイルの更新ログ、移動元の削除ログ、同一ドライブの場合には複写元ファイルと複写先ファイルまたは移動元ファイルと移動先ファイルの変名ログが採取されます。)
仮想化環境の場合、ドライブマッピングされた物理ドライブのファイル名に余分な情報[\\Device\PicaDriveRedirector\]が付与されることがあります。
例:[\\Client\F$\顧客\顧客情報.xls]が、[\\Device\PicaDriveRedirector\Client\F$\顧客\顧客情報.xls]として取得されます。
仮想化環境の場合、コマンドプロンプトでファイル操作を行うと、ドライブマッピングされた物理ドライブのファイル名で、フルパスが取得できないことがあります。
例:[\\Client\F$\顧客\顧客情報.xls]が、[\\顧客情報.xls]や[\\顧客\顧客情報.xls]として取得されます。
仮想化環境の場合、ファイルサイズが0バイトのファイルの操作ログが取得されないことがあります。
仮想化環境の場合、ファイル操作を行った際に余分な「作成」ログが取得されることがあります。
仮想化環境の場合、フォルダの操作ログが取得されないことがあります。
Microsoft® Office内でファイル操作を行った場合、OSが作成した一次ファイル(.dll .dat .lnkなど)の操作ログが取得されることがあります。
Microsoft® PowerPointを利用して、画像形式(JPG, TIF等)ですべてのページを保存した場合、ページ数分の画像ファイルが出力されます。このとき、「別名保存」ログとして記録されるのは、[名前を付けて保存]ダイアログのファイル名で指定したページの画像ファイルだけです。そのほかのページのファイル操作ログは、「作成」として記録されます。
新規ファイル作成後にファイル操作(更新、変名など)を行った場合、「作成」ログが出力されないことがあります。
操作ログを採取する場合、[ファイル操作]でログ採取対象とするプロセスを登録します。このとき、[拡張子による選択]で[全拡張子を取得]とした場合、そのプロセス(アプリケーション)でアクセスするすべてのファイルの情報を採取します。これらのファイルの中には、データファイルのほかに、実行モジュールや一時作業用としてアクセスするファイル、たとえば、拡張子が「exe」、「dll」、「ini」、「tmp」、「lnk」、または「inf」などのファイルも含まれ、これらの操作ログも採取されます。
音楽CDを再生する場合、操作ログは採取できません。
直接、インターネット上のストレージに保存した場合、操作ログは採取できません。
ネットワークドライブ関連のファイル操作は、クライアント(CT)からネットワーク上にあるSystemwalker Desktop Keeperのクライアント(CT)で動作対象としているOSに対して行われた、ファイルやフォルダの操作がログ採取の対象となります。
ネットワークドライブ関連のファイル操作ログは、UNC表記またはUNC表記のマシン名の部分がIPアドレスで表示されます。ただし、以下の場合は、採取されるログの[ファイル名先]の情報は、ファイル名またはフォルダ名のフルパスで表示されます。
ネットワークドライブにドライブレターの割り当てを行い、割り当てたドライブレターから変名の操作を行った
ネットワークドライブにドライブレターの割り当てを行い、割り当てたドライブレター内で移動の操作を行った
ネットワークドライブとして割り当てたドライブレターに対して、割り当てたドライブレターと同じネットワークドライブに直接アクセスしたフォルダから移動の操作を行った
ネットワークドライブとして割り当てたドライブレターと、割り当てたドライブレターと同じネットワークドライブに直接アクセスしたフォルダ間での移動の操作は、“8.2.22 ファイル操作ログ”で示す表と、以下の部分が異なってログが採取されます。
[フォルダ操作]-[フォルダ配下のファイルに対するログ]-[同じドライブ内]で、[×]の代わりに[変名]ログとして採取される
[フォルダ操作]-[フォルダに対するログ]-[同じドライブ内]で、[変名]、[(変名)]、および[(削除)]の代わりに[作成]、[削除]、および[(削除)]ログとして採取される
Windows® 8、Windows Server® 2012において、ネットワークドライブ上のファイルを削除した場合、[削除]ログが出力されないことがあります。
Windows® 8、Windows Server® 2012において、ネットワークドライブ上のファイルを移動した場合、[移動]ログが[複写]ログとして出力されることがあります。
ファイル操作ログ取得除外フォルダの設定で、内蔵ディスクでもOSがリムーバブルドライブと判断するドライブを設定した場合、除外対象となりません。
除外フォルダを有効にしていても、除外しないフォルダとの関連操作については、ログを取得します。
除外フォルダ配下のすべてのフォルダ、サブフォルダ、ファイルが対象です。
システム環境変数のTEMP、TMPの設定値を変更した場合、変更後の設定値は次回のOS起動後から有効になります。OSを再起動する前は、変更前の値で動作します。
ユーザー環境変数のTEMP、TMPの設定値を変更した場合、変更後の設定値は次回のログオン後から有効になります。ログオンをしなおす前は、変更前の値で動作します。
システム環境変数、ユーザー環境変数のTEMP、TMPの設定値に、“\”や“\\”など、\記号だけを設定した場合、その設定は無効です。
“\”はそのプログラムが動作しているときのカレントドライブのルートを示しますが、固定とできないため、除外対象としません。
また、“\\”などはUNC表記のネットワークパスの始まりを示しますが、“\\”だけでは意味をなさないため、その場合の除外対象とはしません。
システム環境変数のTEMP、TMPや、インターネット一時ファイルのフォルダを除外指定とした場合、そのフォルダ名が260バイト以上のパスのときは、そのフォルダは除外対象とせず、ファイル操作ログは採取されます。
ただし、260バイトちょうどの長さで260バイト目が\記号の場合は、設定が有効となります。
除外対象のパスの中にUNICODE固有の文字が存在する場合、その文字は「?」記号に置き換えて比較動作をします。そのため、ファイル操作ログで同じ場所にUNICODE固有文字があるログはすべて除外動作を行います。
たとえば、Windowsへのログオン時のユーザー名にUNICODE固有文字が含まれている場合は、同じようにUNICODE固有文字が含まれている他ユーザー名のTEMP、TMPフォルダへのアクセスについても除外する動作を行います。
Windows Vista®、Windows Server® 2008、Windows® 7、Windows® 8、Windows Server® 2012において、除外対象のパスの中にUNICODE固有の文字が存在する場合、除外対象とはなりません。
