ファイルサーバーにあるフォルダを監査するように依頼されました。監査とは
- そのフォルダにアクセスしているユーザーの数
- 変更点
- 編集
- 新しい
- ファイルとフォルダを削除する
記録する必要があります。
監査ポリシーのローカルGPを使用してこれを行うことができることは知っていますが、セキュリティイベントログこの特定のフォルダーに対してのみフィルタリングできます。
また、このフォルダーで何が起こったかについてのレポートを取得するためにサードパーティのソフトウェアを使用できるかどうかも知りたいです。
答え1
フォルダー C:\TEST のイベントを表示するカスタム イベント ビューアー フィルターの例:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="ObjectName"] = "C:\TEST"]]</Select>
</Query>
</QueryList>
また、Get-WinEvent を使用して同様のカスタム フィルタリングを実行し、データを抽出することもできます。