EventLog Analyzer ナレッジベース

Windowsに対するファイル監視(FIM)の設定方法


本ナレッジでは、ファイル監視(FIM)の設定方法を説明します。
ファイル監視機能(FIM)を使用することにより、Windowsデバイス上での追加、削除、修正などの変更を監視することが可能です。

 

【ファイル監視(FIM)レポート例】

 

 

ファイル監視の必要条件

  • 監査対象ファイル/フォルダーが存在するWindowsデバイスを、あらかじめEventLog Analyzerに追加する必要があります(追加手順はこちらのページを参照)
  • 監視対象ファイル/フォルダーが存在するWindowsデバイスをにエージェントをインストールする必要があります(インストール手順はこちらのページを参照)。

 

EventLog Analyzerサーバー自身にエージェントをインストール(ファイル監視を行う)ことはできません。

 

ファイル監視ホストの設定方法

  1. [設定] → [ファイル監視の管理] に移動します。
  2. Windowsタブをクリックします。
  3. [FIMを追加]をクリックします。
  4. デバイスを選択後、認証情報を入力し、監視するファイル/フォルダーを選択します。[フィルターを除外] のオプションでは、以下の項目を指定できます。
    • ファイルの種類
    • 特定のサブフォルダー
    • 全てのサブフォルダー
  5. ファイル/フォルダーに変更を加えたユーザーを監査する場合は、[ユーザー名を監査] にチェックを入れます。
  6. [設定する] をクリックします。

 

ファイル監視に必要なSACL/監査ポリシーの設定方法

SACL設定方法

ファイル監視を設定すると、監視対象ファイル/フォルダーに対して以下のSACLが自動で有効化されます。

 

プリンシパル:Everyone
適用先:このフォルダーのみ
アクセス許可

  • フォルダーのスキャン/ファイルの実行
  • ファイルの作成/データの書き込み
  • フォルダーの作成/データの追加
  • 属性の書き込み
  • 拡張属性の書き込み
  • サブフォルダーとファイルの削除
  • 削除
  • アクセス許可の読み取り
  • アクセス許可の変更
  • 所有権の取得

 

プリンシパル:Everyone
適用先:サブフォルダーとファイルのみ
アクセス許可

  • フォルダーのスキャン/ファイルの実行
  • ファイルの作成/データの書き込み
  • フォルダーの作成/データの追加
  • 属性の書き込み
  • 拡張属性の書き込み
  • サブフォルダーとファイルの削除
  • 削除
  • アクセス許可の変更
  • 所有権の取得

 

※自動でSACLが設定されない場合、以下画像を参照して設定してください(設定箇所は、対象ファイル/フォルダーを右クリック → プロパティ → [セキュリティ]タブ → [詳細設定] → [監査]タブ → [追加]をクリック後の画面です)。

 

監査ポリシー設定方法

ファイル監視を設定すると、該当Windowsデバイスに対して監査に必要な監査ポリシーが自動的に設定されます。
必要な監査ポリシーが設定されているかを確認するためには、以下の手順を実施してください。

監査ポリシー確認手順

1. 該当Windowsサーバーにログイン
2. 管理者としてコマンドプロンプトを起動
3. 以下のコマンドを実行

auditpol /get /category:"Object Access"

または

auditpol /get /category:"オブジェクト アクセス"

※実行環境の言語設定によって、いずれかのコマンドは実行失敗します。

4. 実行結果の以下項目を確認し、「成功と失敗」が設定されているかご確認ください。

・File System
・File Share
・Handle Manipulation
・Detailed File Share
・Other Object Access Events

または

・ファイルシステム
・ファイルの共有
・ハンドル操作
・詳細なファイル共有
・その他のオブジェクト アクセス イベント

設定されていない場合、監査ポリシーを設定してください。

 

以上です。

Linuxに対するファイル監視については、以下のナレッジベースをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=3892