クライアント(CT)で実施された、以下のドライブでのファイル操作やフォルダ操作のログです。
ローカルドライブ
ネットワークドライブ
リムーバブルドライブ
注意
使用している環境によって、機能が制限される場合があります
ポリシーを設定した場合、使用している環境によって、機能が制限されることがあります。
詳細は、“1.2.32 ファイル操作ログ”を参照してください。
採取するために設定するポリシー
[端末初期設定]画面、または管理コンソール起動直後の画面(CTポリシー設定画面)で設定します。
[Windows]の[ログを採取する操作]で、[ファイル操作ログ]に[する]を設定します。
[ファイル操作]で、ファイル操作ログのフィルタ条件を設定します。
[ファイル操作ログ]に[する]が設定されている場合に、設定できます。
[拡張子]で、どの拡張子のファイルを操作した場合にログを採取するかを設定します。
[ファイル操作ログ]に[する]が設定されている場合に、設定できます。
設定値の詳細は、“2.4.1.2 ファイル操作”および“2.4.1.3 拡張子”を参照してください。
表示内容
参照できるログの内容は以下のとおりです。
[名称]:クライアント(CT)の名称
[発生日時]:クライアント(CT)におけるログ採取日時
[ユーザー名]:以下の情報が表示されます。
ログオン時:クライアント(CT)のログオンユーザー名
未ログオン時:SYSTEM(固定)
[ドメイン名]:以下の情報が表示されます。
ドメインにログオン時:クライアント(CT)のドメイン名
ローカルコンピュータにログオン時:クライアント(CT)のコンピュータ名
未ログオン時:クライアント(CT)のコンピュータ名
[種別]:[ファイル操作] (固定値)
[区分]:正規
[付帯]:(表示されません)
[内容]:詳細は、“採取される操作ログ”を参照してください。
[内容]の表示例:
操作:[変名]、ファイル名元:[C:\Documents and Settings\Administrator\デスクトップ\新規Microsoft Excel ワークシート.xls]、ドライブ種別元:[固定]、ファイル名先:[C:\Documents and Settings\Administrator\デスクトップ\顧客情報一覧.xls]、ドライブ種別先:[固定]、アプリ名:[Explorer.exe]
[備考]:以下の情報が表示されます。
ファイル操作が[参照]、[更新]、[作成]、[複写]、[移動]、[変名]、[別名保存]の場合は、操作後のファイルサイズが表示されます。ファイルサイズの情報が正常に取得できていなかった場合は、半角空白(サイズ(バイト):[ ])が表示されます。また、ファイルサイズが2,147,483,647バイトを超える場合は、「サイズ(バイト):[2,147,483,647]」と表示されます。
フォルダ操作の場合、またはファイル操作で[削除]の場合は、備考欄は空欄です。
フォルダ作成時に変名をした場合、フォルダの[作成]ログの備考欄に半角空白(サイズ(バイト):[ ])が表示される場合があります。
ログビューアでのキーワード検索時、カンマを除いた数字をキーワードとして指定します。
0 から 2147483647 までを指定できます。
例:
検索条件に「0123」を指定した場合、「サイズ(バイト):[201,235]」が備考に表示されているログは、検索されます。「サイズ(バイト):[123]」が備考に表示されているログは、検索されません。
また、ログビューアでのキーワード検索時、操作種別である以下の語句を含むキーワードを指定した場合、操作種別が該当するログが検索されることがあります。
(対象となる語句:「参照」「更新」「作成」「削除」「複写」「移動」「変名」「別名保存」)
例:
検索条件に「複写、ファイル名元:[G:\]」のように単一のキーワードを設定し、OR検索を選択している場合、操作したファイル名にかかわらず、操作種別が「複写」のログも、検索されます。操作種別が「複写」で、かつファイル名が「G:\」を含むものを検索したい場合は、複数のキーワードをAND条件で指定してください。
採取される操作ログ
ファイル操作ログのポリシーが設定されたクライアント(CT)で、ローカルドライブやネットワークドライブでファイルやフォルダを操作した場合に採取されるログについて説明します。
注意
以下のソフトウェア・コマンドについて説明します。
以下のソフトウェアやコマンドの場合、操作ログは、後述する表のように採取されます。
エクスプローラ (注1)
メモ帳 (注1)
ワードパッド (注1)
Microsoft® Word(2003、2007、2010、2013、および、2016の場合) (注2)
Microsoft® Excel(2003、2007、2010、2013、および、2016の場合) (注2)
Microsoft® PowerPoint®(2003、2007、2010、2013、および、2016の場合) (注2)
コマンドプロンプト中のコマンド(COPY、XCOPY、MOVE、DEL、ERASE、RD、REN、MD) (注1)
注1) 「別名保存」の操作ログは採取されません。
注2) 「別名保存」操作ログは、2003では採取されません。
ただし、以下の点に注意してください。
Microsoft® Wordによる「更新」操作は[作成]としてログが採取されます。
エクスプローラやXCOPYのように[ファイル操作]で[参照以外を取得]として登録してあるプロセスは、[参照]のログは採取されません。
上記のソフトウェアやコマンドの場合においても、余分なログが採取されることがあります。
上記以外のソフトウェアやコマンドの場合には、実際の操作と異なる操作ログが採取されることがあります(たとえば、「複写」や「移動」のログが採取できず、[参照]、[作成]、[削除]、または[変名]としてログが採取されます)。
上記のソフトウェアやコマンドにおいて「移動」操作を行った場合、「複写」と移動元の「作成」のログが採取されることがあります。
コマンドプロンプトで、リダイレクト処理( > または >> )を使用した場合、ログが出力されないことがあります。
クライアント(CT)でファイルやフォルダを操作したときに採取されるログの種別は、以下のとおりです。
ログ種別 | ログビューアの[内容]の表示 |
|---|---|
参照 | 操作:[参照]、ファイル名:[(注1)]、ドライブ種別:[(注2)]、アプリ名:[(注5)] |
更新 | 操作:[更新]、ファイル名:[(注1)]、ドライブ種別:[(注2)]、アプリ名:[(注5)] |
作成 | 操作:[作成]、ファイル名:[(注1)]、ドライブ種別:[(注2)]、アプリ名:[(注5)] |
削除 | 操作:[削除]、ファイル名:[(注1)]、ドライブ種別:[(注2)]、アプリ名:[(注5)] |
複写 | 操作:[複写]、ファイル名元:[(注1)]、ドライブ種別元:[(注2)]、 |
移動 | 操作:[移動]、ファイル名元:[(注1)]、ドライブ種別元:[(注2)]、 |
変名 | 操作:[変名]、ファイル名元:[(注1)]、ドライブ種別元:[(注2)]、 |
別名保存 | 操作:[別名保存]、ファイル名元:[(注1)]、ドライブ種別元:[(注2)]、 |
注1) ローカルドライブの場合、操作対象の元となるファイル名またはフォルダ名(フルパスで表示されます)
ネットワークドライブの場合、操作対象の元となるファイル名またはフォルダ名(UNC表記またはUNC表記のマシン名の部分がIPアドレスで表示されます)
注2) 操作対象の元となるドライブの種別
注3) ローカルドライブの場合、操作対象の先となるファイル名またはフォルダ名(フルパスで表示されます)
ネットワークドライブの場合、操作対象の先となるファイル名またはフォルダ名(UNC表記またはUNC表記のマシン名の部分がIPアドレスで表示されます)
ただし、以下の場合は、ファイル名またはフォルダ名(フルパスで表示されます)
ネットワークドライブにドライブレターの割り当てを行い、割り当てたドライブレターから変名の操作を行った
ネットワークドライブにドライブレターの割り当てを行い、割り当てたドライブレター内で移動の操作を行った
ネットワークドライブとして割り当てたドライブレターに対して、割り当てたドライブレターと同じネットワークドライブに直接アクセスしたフォルダから移動の操作を行った
注4) 操作対象の先となるドライブの種別
注5) 操作したアプリケーション名
前述した“ログ種別”がどのような条件下で、どのような操作を行ったときに採取できるかについて、以下に示します。
条件 | ファイルやフォルダへの操作 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
参照 | 更新 | 作成 | 削除 | 複写 | 移動 | 変名 | 別名保存 | |||
ファイル操作 | ファイルに対するログ | 同じドライブ内 | 参照 (注3) | 更新 (注3) | 作成 | 削除 | 複写 | 変名 | 変名 | 別名保存 |
異なるドライブ間 | - | - | - | - | 複写 | 移動 | - | 別名保存 | ||
フォルダ操作 | フォルダ配下のファイルに対するログ | 同じドライブ内 | - | - | - | 削除 | 複写 | ×(注4) | - | - |
異なるドライブ間 | - | - | - | - | 複写 | 移動 | - | - | ||
フォルダに対するログ | 同じドライブ内 | - | - | 作成 | 削除 | 作成 | 変名 | 変名 | - | |
異なるドライブ間 | - | - | - | - | 作成 | 作成 | - | - | ||
-:不可能な操作です。
×:操作ログを採取できません。
参照/更新/作成/削除/複写/移動/変名/別名保存:採取される操作ログの種別を示します。
( ):複写先または移動先に同名のファイルやフォルダが存在していた場合に採取される操作ログの種別を示します。( )のない場合は、記述されているログの種別が採取されます。
注1) 同じローカルドライブ内または同じネットワークドライブ内での操作です。たとえば、以下の場合です。
ローカルドライブ内でのCドライブからCドライブへの操作
ネットワークドライブ「\\dtk\common\」内での操作(サーバ名、共有名が同じ場合に、同じネットワークドライブとみなします)
注2) 異なるローカルドライブ間、ローカルドライブとネットワークドライブ間、または異なるネットワークドライブ間での操作です。たとえば、以下の場合です。
ローカルドライブ内でのCドライブからDドライブへの操作
ローカルドライブとネットワークドライブ間での操作
ネットワークドライブ「\\dtk\common\」からネットワークドライブ「\\dtk\com\」への操作(サーバ名、または、共有名が異なる場合に、異なるネットワークドライブとみなします)
注3) エクスプローラやコマンドプロンプトでのファイルのプロパティ参照は、ログの対象となりません。
注4) 移動元と移動先のフォルダ名が同じ場合、移動元のフォルダ配下には存在し、移動先のフォルダ配下には存在しないファイルに対してだけ、[変名]ログが採取されます。
上記表の見方と出力されるログについて、例を用いて説明します。
同じローカルドライブ内でファイル操作として、参照を行った場合、前述したログの種別の「参照」に示されているログが採取されます。
次にログビューアからログを参照している画面を表示します。枠で囲んだ部分が、この場合に採取されたログになります。
上記画面の枠で囲んだ[内容]欄には、以下のように表示されています。
操作:[参照]、ファイル名:[D:\report.doc]、ドライブ種別:[固定]、アプリ名:[winword.exe]
この場合、Dドライブの直下にある「report.doc」ファイルが、Wordにより参照されたことを示しています。
同じローカルドライブ内でファイル操作として、複写を行った場合、複写先に同名のファイルが存在していた、または存在しなかったに関わらず、前述したログの種別の「複写」に示されているログが採取されます。
ログビューアの[内容]欄に表示されるログの例を以下に示します。
操作:[複写]、ファイル名元:[D:\report.doc]、ドライブ種別元:[固定]、ファイル名先:[D:\tmp\report.doc]、ドライブ種別先:[固定]、アプリ名:[Explorer.exe]
この場合、Dドライブの直下にある「report.doc」ファイルが、エクスプローラで「D:\tmp」に複写されたことを示しています。
ローカルドライブでフォルダ操作として、空のフォルダを異なるドライブに移動した場合、移動先に同名のフォルダが存在しなかったとき、前述したログの種別の「削除」と「作成」に示されている2つのログが採取されます。
ログビューアの[内容]欄に表示されるログの例を以下に示します。
操作:[作成]、ファイル名:[D:\log]、ドライブ種別:[固定]、アプリ名:[Explorer.exe] 操作:[削除]、ファイル名:[C:\log]、ドライブ種別:[固定]、アプリ名:[Explorer.exe]
この場合、Cドライブの直下にある「log」フォルダが、エクスプローラでDドライブの直下に移動されたことを示しています。
ローカルドライブでフォルダ操作として、空のフォルダを異なるドライブに移動した場合、移動先に同名のフォルダが存在していたとき、前述したログの種別の「削除」に示されているログが採取されます。
ログビューアの[内容]欄に表示されるログの例を以下に示します。
操作:[削除]、ファイル名:[C:\log]、ドライブ種別:[固定]、アプリ名:[Explorer.exe]
この場合、Cドライブの直下にある「log」フォルダが、エクスプローラで異なるドライブに移動され、移動先に同名のフォルダが存在していたことを示しています。
同じネットワークドライブ内でファイル操作として、参照を行った場合、前述したログの種別の「参照」に示されているログが採取されます。
ログビューアの[内容]欄に表示されるログの例を以下に示します。
操作:[参照]、ファイル名:[\\dtk\common\report.doc]、ドライブ種別:[リモート]、アプリ名:[winword.exe]
この場合、「dtk」というマシンの「common」共有フォルダ直下にある「report.doc」ファイルが、Wordにより参照されたことを示しています。
