目次フレーム表示

NTFS代替データ ストリームを監査する際の考慮事項

NTFS代替データ ストリームが設定されたファイルを監査する際には、注意しなければならない特定の考慮事項があります。

監査されるオブジェクトの場所は、2つのタグ、ObjectNameタグ(パス)とHandleIDタグ(ハンドル)を使用してイベント レコードに記録されます。 どのストリーム要求がログに記録されるかを正しく把握するには、NTFS代替データ ストリームについてこれらのフィールドに記録される内容を理解する必要があります。

次の例は、HandleIDタグを使用して代替データ ストリームのEVTX ID:4663イベントを特定する方法を示しています。 読み取りの監査イベントで記録されたObjectNameタグ(パス)はベース ファイルへのパスですが、HandleIDタグを使用してイベントを代替データ ストリームの監査レコードとして特定できます。

ストリーム ファイル名の形式はbase_file_name:stream_nameです。 この例では、次のパスの代替データ ストリームが設定されたベース ファイルがdir1ディレクトリに含まれています。

/dir1/file1.txt
/dir1/file1.txt:stream1
注: 次のイベント例の出力は省略されており、イベントに対するすべての出力タグが表示されているわけではありません。

EVTX ID 4656(オープンの監査イベント)の場合、代替データ ストリームの監査レコード出力で、ObjectNameタグに代替データ ストリーム名が記録されています。

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" /> 
  <EventID>4656</EventID> 
  <EventName>Open Object</EventName> 
  [...]
  </System>
- <EventData>
  [...]
  <Data Name="ObjectType">Stream</Data> 
  <Data Name="HandleID">00000000000401;00;000001e4;00176767</Data>      
  <Data Name="ObjectName">(data1);/dir1/file1.txt:stream1</Data>               
  [...]
  </EventData>
  </Event>
- <Event>

EVTX ID 4663(読み取りの監査イベント)の場合、同じ代替データ ストリームの監査レコード出力で、ObjectNameタグにベース ファイル名が記録されていますが、HandleIDタグのハンドルは代替データ ストリームのハンドルであり、これを使用してこのイベントと代替データ ストリームを関連付けることができます。

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" /> 
  <EventID>4663</EventID> 
  <EventName>Read Object</EventName> 
  [...]
  </System>
- <EventData>
  [...] 
  <Data Name="ObjectType">Stream</Data>
  <Data Name="HandleID">00000000000401;00;000001e4;00176767</Data>    
  <Data Name="ObjectName">(data1);/dir1/file1.txt</Data> 
  [...]
  </EventData>
  </Event>
- <Event>