Bar

WHS2011 共有フォルダのアクセスログを取ろう~監査の失敗とか~

image

家庭用サーバでやる意味あるか?は別として、Windows Home Server2011の共有フォルダにアクセスしてきたログをとる方法をメモ。

お父さんの大事なデータが入ったフォルダにアクセスしてきたログを取るってのもありですよね。

一応、ビジネス向けのお話

WHS2011のダッシュボードから共有フォルダを設定・稼働/停止できるのはご存知だと思います。

もちろん、アクセスコントロールもできるので運用はメチャクチャ楽ちんですよね。

でも、「いつ」「どこで」「だれが」「なにをした」ということを意識したことあります?

本記事は、特にビジネスとしてWHS2011を使う場合に有効な内容です。

WHS2011だけでなく、他WindowsOSでも同じことができますので是非実践してみてくださいね。

共有フォルダのアクセスログを取る方法

アクセスログを取る方法ですが、他アプリケーションでなくWHS2011、の標準機能を使います。
理由は、「安定動作させたい」からですよ。

※サードパーティのアプリケーションで不安定になることがシバシバあるので。。。

やり方はちょっとややこしいです。

1.監査ポリシーの設定
  1. gpedit.mscを実行
  2. コンピュータの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→監査ポリシーを選択
  3. オブジェクトアクセスの監査をダブルクリックし、監査対象の成功/失敗にチェック
2.共有フォルダを監査対象にする
  1. エクスプローラ上から共有フォルダがあるパスへ移動。
  2. 対象フォルダのプロパティ→セキュリティタブ→詳細設定(V)をクリック
  3. 監査タブ→編集→追加をクリック
  4. ユーザorグループを選択
  5. 監査エントリのアクセス一覧から「監査したい内容」をチェック
3.イベントログを見る
  1. サーバーマネージャーを起動
  2. 診断→イベントビューアー→Windowsログ→セキュリティを選択

カスタムビューorサマリからログを見ましょう

イベントログですが、ログが多すぎると情報が埋もれてしまうと見にくくてしょうがないですよね。
いつのWindows Serverからですかね。

イベントビューアが非常に見やすくなりました。

サマリがあったり、カスタムビュー(フィルタリングします)があったり。

カスタムビューを作成するか、管理イベントの概要から見ることをおススメします。

余談:タスクスケジューラとの連携も面白い

イベントビューアですが、実はタスクスケジューラとの連携ができます。

例えばイベントID4645のイベントが発生したらメッセージを送るなんてこともできます。

元はWindows Server 2008R2ですから、サーバーでできることはひと通りできます。

※マイクロソフトが想定している使い方とかなりかけ離れていると思いますが・・・

出来るのは

  • プログラムの開始
  • 電子メールの送信
  • メッセージの表示

の3種類。

ちなみに、電子メールはOutlook.comなどWebメールはできませんでしたのでご注意ください。

出来ると嬉しいですよね~

image