ページの先頭行へ戻る
Systemwalker Desktop Keeper 運用ガイド 管理者編
FUJITSU Software

1.2.32 ファイル操作ログ

大量のログが発生する操作を行った場合の注意事項
  • 大量のログが発生する操作(注1)を行った直後にシャットダウン・再起動を行うと、再起動前のログの一部が採取されない場合があります。
    上記の操作が行われた場合は、しばらく時間をあけてから終了処理を実施してください。

  • 大量のログが発生する操作を行った場合、一時的にSystemwalker Desktop Keeperのプロセスが高負荷状態になる場合があります。
    一時的の場合は問題ありませんが、定期的に行われる場合は、大量のログが作成される可能性のあるフォルダを除外するなどの対応をお願いします。

    注1)

    数万のファイルが存在するフォルダの一括コピーや削除などの操作

    バッチ処理による定常的なファイル操作など

実際の操作と採取される操作ログが異なる場合があります
  • 以下のソフトウェアやコマンドの場合、操作ログは、“8.2.22 ファイル操作ログ”で説明されているように採取されます。

    • エクスプローラ

    • メモ帳

    • ワードパッド

    • Microsoft® Word(2003、2007、2010、2013、および2016の場合)

    • Microsoft® Excel(2003、2007、2010、2013、および2016の場合)

    • Microsoft® PowerPoint®(2003、2007、2010、2013、および2016の場合)

    • コマンドプロンプト中のコマンド(COPY、XCOPY、MOVE、DEL、ERASE、RD、REN、MD)

    ただし、以下の点に注意してください。

    • Microsoft® Wordによる「更新」操作(新規保存および上書保存)は[作成]としてログが採取される

    • Microsoft® Word、Excel、PowerPointによる「作成」操作が[更新]としてログが採取されこるとがある(Microsoft® Office2013および2016の場合)

    • エクスプローラやXCOPYのように[ファイル操作]で[参照以外を取得]として登録してあるプロセスは、[参照]のログは採取されない

    • 上記のソフトウェアやコマンドの場合においても、“8.2.22 ファイル操作ログ”に示す以外に余分なログが採取されることがある

    • 上記のソフトウェアやコマンドにおいて「移動」操作を行った場合、「複写」と移動元の「作成」のログが採取されることがある

    • コマンドプロンプトで、リダイレクト処理( > または >> )およびMDコマンドを使用した場合、ログが出力されない

    • アクセス権限のないファイルを開こうとして拒否された場合、ファイル操作ログが取得されない場合がある

  • 実際の操作と異なる操作ログが採取されることがあります。
    例:「複写」の場合、[参照]、[作成]、または[変名]としてログが採取されます。
    例:「移動」の場合、[参照]、[作成]、[削除]、または[変名]としてログが採取されます。

  • DVDやCDに、ローカルドライブにあるデータをライティングソフトで書き込む場合、DVDやCDに対するアクセス情報が採取できないため[参照]としてログが採取されます。[複写]としては採取されません。

  • テープ装置への出力、RS-232C などのクロスケーブルによる通信、IrDA(赤外線装置)経由での操作などは、接続先のドライブ情報が取得できないため、ローカルドライブ側だけの情報を採取して、操作ログが作成されます。

  • サイズの大きなファイルを移動する場合(目安としては、1つのファイルの移動が上書き確認時の利用者操作を含めて30秒以上かかる場合)、ログが[複写]と移動元の[削除]の2つに分かれることがあります。

  • moveコマンドを使用して、同一ドライブ内で上書き移動した場合、上書き確認のプロンプトを30秒以上表示して、そのあとに上書きの操作を行うと、ログは[移動]ではなく[変名]となります。また、ほかのコマンドにおいても、上書き確認のプロンプトを表示したままの場合は、異なるログが採取されることがあります。

  • COPYコマンド(XCOPYコマンド)で「COPY A.TXT+B.TXT C.TXT」や「COPY *.TXT C.TXT」として実行した場合のログは、正常に採取できません。この場合、「C.TXT」の[作成]としてログが採取されます。

  • 採取されるログの[ファイル名]、[ファイル名先]、または[ファイル名元]の情報は半角で259文字(全角で129文字)まで採取されます。

  • コマンドプロンプトでのファイル操作で存在しないパスを指定した場合、処理は失敗しますが、ログは採取されることがあります。

  • 確認画面が表示される操作(例:上書き複写)を行った場合に、その操作を取り消したときもファイル操作ログが採取されることがあります。

  • Windows Vista®、Windows® 7、Windows® 8、Windows® 10、Windows Server® 2008、Windows Server® 2012、Windows Server® 2016において、確認画面が表示される操作(上書き複写、上書き移動)を行った場合に、ログ種別に「複写」または「移動」として記録されないことがあります。(複写先ファイルまたは移動先ファイルの更新ログ、移動元の削除ログ、同一ドライブの場合には複写元ファイルと複写先ファイルまたは移動元ファイルと移動先ファイルの変名ログが採取されます。)

  • 仮想化環境の場合、ドライブマッピングされた物理ドライブのファイル名に余分な情報[\\Device\PicaDriveRedirector\]が付与されることがあります。
    例:[\\Client\F$\顧客\顧客情報.xls]が、[\\Device\PicaDriveRedirector\Client\F$\顧客\顧客情報.xls]として取得されます。

  • 仮想化環境の場合、ドライブマッピングされた物理ドライブでファイル操作を行うと、ファイルのフルパスが取得できないことがあります。
    例:[\\Client\F$\顧客\顧客情報.xls]が、[\\顧客情報.xls]や[\\顧客\顧客情報.xls]として取得されます。

  • 仮想化環境の場合、ファイルサイズが0バイトのファイルの操作ログが取得されないことがあります。

  • 仮想化環境の場合、ファイル操作を行った際に余分な「作成」ログが取得されることがあります。

  • 仮想化環境の場合、フォルダの操作ログが取得されないことがあります。

  • Microsoft® Office内でファイル操作を行った場合、OSが作成した一次ファイル(.dll .dat .lnkなど)の操作ログが取得されることがあります。

  • Microsoft® PowerPointを利用して、画像形式(JPG, TIF等)ですべてのページを保存した場合、ページ数分の画像ファイルが出力されます。このとき、「別名保存」ログとして記録されるのは、[名前を付けて保存]ダイアログのファイル名で指定したページの画像ファイルだけです。そのほかのページのファイル操作ログは、「作成」として記録されます。

  • 新規ファイル作成後にファイル操作(更新、変名など)を行った場合、「作成」ログが出力されないことがあります。

多くの[参照]ログが採取される場合があります
  • 操作ログを採取する場合、[ファイル操作]でログ採取対象とするプロセスを登録します。このとき、[拡張子による選択]で[全拡張子を取得]とした場合、そのプロセス(アプリケーション)でアクセスするすべてのファイルの情報を採取します。これらのファイルの中には、データファイルのほかに、実行モジュールや一時作業用としてアクセスするファイル、たとえば、拡張子が「exe」、「dll」、「ini」、「tmp」、「lnk」、または「inf」などのファイルも含まれ、これらの操作ログも採取されます。

操作ログが採取できない場合があります
  • 音楽CDを再生する場合、操作ログは採取できません。

  • 直接、インターネット上のストレージに保存した場合、操作ログは採取できません。

  • アクセス権限が無いファイルを参照/更新しようとした場合、ファイル操作ログが採取されないことがあります。

ネットワークドライブ関連のファイル操作ログについて
  • ネットワークドライブ関連のファイル操作は、クライアント(CT)からネットワーク上にあるSystemwalker Desktop Keeperのクライアント(CT)で動作対象としているOSに対して行われた、ファイルやフォルダの操作がログ採取の対象となります。

  • ネットワークドライブ関連のファイル操作ログは、UNC表記またはUNC表記のマシン名の部分がIPアドレスで表示されます。ただし、以下の場合は、採取されるログの[ファイル名先]の情報は、ファイル名またはフォルダ名のフルパスで表示されます。

    • ネットワークドライブにドライブレターの割り当てを行い、割り当てたドライブレターから変名の操作を行った

    • ネットワークドライブにドライブレターの割り当てを行い、割り当てたドライブレター内で移動の操作を行った

    • ネットワークドライブとして割り当てたドライブレターに対して、割り当てたドライブレターと同じネットワークドライブに直接アクセスしたフォルダから移動の操作を行った

  • ネットワークドライブとして割り当てたドライブレターと、割り当てたドライブレターと同じネットワークドライブに直接アクセスしたフォルダ間での移動の操作は、“8.2.22 ファイル操作ログ”で示す表と、以下の部分が異なってログが採取されます。

    • [フォルダ操作]-[フォルダ配下のファイルに対するログ]-[同じドライブ内]で、[×]の代わりに[変名]ログとして採取される

    • [フォルダ操作]-[フォルダに対するログ]-[同じドライブ内]で、[変名]、[(変名)]、および[(削除)]の代わりに[作成]、[削除]、および[(削除)]ログとして採取される

  • Windows® 8、Windows® 10、Windows Server® 2012、Windows Server® 2016において、ネットワークドライブ上(UNCパスでアクセス時含む)のファイルを削除した場合、[削除]ログが出力されないことがあります。特にバッチファイル、スクリプトを使用したファイルの削除は、[削除]ログが出力されません。

  • Windows® 8、Windows® 10、Windows Server® 2012、Windows Server® 2016において、ネットワークドライブ上(UNCパスでアクセス時含む)のファイルを移動した場合、[移動]ログが[複写]ログとして出力されることがあります。

[ファイル操作ログ取得除外フォルダの設定]について
  • ファイル操作ログ取得除外フォルダの動作は、対象のドライブが内蔵の固定ディスクであった時のみ除外動作を行います。任意の除外フォルダ設定も同様です。

  • ファイル操作ログ取得除外フォルダの設定で、内蔵ディスクでもOSがリムーバブルドライブと判断するドライブを設定した場合、除外対象となりません。

  • 除外フォルダを有効にしていても、除外しないフォルダとの関連操作については、ログを取得します。

  • 除外フォルダ配下のすべてのフォルダ、サブフォルダ、ファイルが対象です。

  • システム環境変数のTEMP、TMPの設定値を変更した場合、変更後の設定値は次回のOS起動後から有効になります。OSを再起動する前は、変更前の値で動作します。

  • ユーザー環境変数のTEMP、TMPの設定値を変更した場合、変更後の設定値は次回のログオン後から有効になります。ログオンをしなおす前は、変更前の値で動作します。

  • システム環境変数、ユーザー環境変数のTEMP、TMPの設定値に、“\”や“\\”など、\記号だけを設定した場合、その設定は無効です。
    “\”はそのプログラムが動作しているときのカレントドライブのルートを示しますが、固定とできないため、除外対象としません。
    また、“\\”などはUNC表記のネットワークパスの始まりを示しますが、“\\”だけでは意味をなさないため、その場合の除外対象とはしません。

  • システム環境変数のTEMP、TMPや、インターネット一時ファイルのフォルダを除外指定とした場合、そのフォルダ名が半角で260文字(全角で130文字)以上のパスのときは、そのフォルダは除外対象とせず、ファイル操作ログは採取されます。
    ただし、半角で260文字(全角で130文字)ちょうどの長さで260文字目が\記号の場合は、設定が有効となります。

  • Windows Vista®、Windows® 7、Windows® 8、Windows® 10、Windows Server® 2008、Windows Server® 2012、Windows Server® 2016において、除外対象のパスの中にUNICODE固有の文字が存在する場合、除外対象とはなりません。

VMware Horizon RDSHについて
  • VMware Horizon RDSH環境において、USBリダイレクトを有効にした場合にファイル操作ログが正常に取得できません。VMware Horizon RDSHで、USBリダイレクトを無効化してください。

  • USBデバイスを使用し、ファイル操作ログも取得する必要がある場合には、VMware Horizon View Clientで接続する時にRDPプロトコルでの接続を許可してください。
    この対応でファイル操作ログを取得できる形式(USBデバイスは\\Client\・・・から始まるネットワークドライブ)としてマウントされ、各操作が可能です。

CitrixXenApp/CitrixXenDesktop 7.7以降の環境について

CitrixXenApp/CitrixXenDesktop 7.7以降の環境において、以下の注意事項があります。

  • ドライブレターに割り当てたオートマッピングドライブに対してファイル操作を行った場合、ファイルのフルパスが取得できません。

    例:[\\Client\F$\顧客\顧客情報.xls]が、[\\顧客情報.xls]や[\\顧客\顧客情報.xls]として取得されます。

  • 同一ドライブ間のファイル移動をした場合に、同一のログが複数出力される場合があります。

  • ドライブレターに割り当てたネットワークドライブに対する移動の際に[変名]ログとして出力される場合があります。