NTFS代替データ ストリームが設定されたファイルを監査する際には、注意しなければならない特定の考慮事項があります。
監査されるオブジェクトの場所は、2つのタグ、ObjectNameタグ(パス)とHandleIDタグ(ハンドル)を使用してイベント レコードに記録されます。 どのストリーム要求がログに記録されるかを正しく把握するには、NTFS代替データ ストリームについてこれらのフィールドに記録される内容を理解する必要があります。
次の例は、HandleIDタグを使用して代替データ ストリームのEVTX ID:4663イベントを特定する方法を示しています。 読み取りの監査イベントで記録されたObjectNameタグ(パス)はベース ファイルへのパスですが、HandleIDタグを使用してイベントを代替データ ストリームの監査レコードとして特定できます。
ストリーム ファイル名の形式はbase_file_name:stream_nameです。 この例では、次のパスの代替データ ストリームが設定されたベース ファイルがdir1ディレクトリに含まれています。
/dir1/file1.txt /dir1/file1.txt:stream1
EVTX ID 4656(オープンの監査イベント)の場合、代替データ ストリームの監査レコード出力で、ObjectNameタグに代替データ ストリーム名が記録されています。
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4656</EventID> <EventName>Open Object</EventName> [...] </System> - <EventData> [...] <Data Name="ObjectType">Stream</Data> <Data Name="HandleID">00000000000401;00;000001e4;00176767</Data> <Data Name="ObjectName">(data1);/dir1/file1.txt:stream1</Data> [...] </EventData> </Event> - <Event>
EVTX ID 4663(読み取りの監査イベント)の場合、同じ代替データ ストリームの監査レコード出力で、ObjectNameタグにベース ファイル名が記録されていますが、HandleIDタグのハンドルは代替データ ストリームのハンドルであり、これを使用してこのイベントと代替データ ストリームを関連付けることができます。
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4663</EventID> <EventName>Read Object</EventName> [...] </System> - <EventData> [...] <Data Name="ObjectType">Stream</Data> <Data Name="HandleID">00000000000401;00;000001e4;00176767</Data> <Data Name="ObjectName">(data1);/dir1/file1.txt</Data> [...] </EventData> </Event> - <Event>