* ファイル共有のイベントログを参照する [#c7172478]
*** グループポリシーの設定 [#abc95ef4]
- ローカルグループポリシーエディタを起動する。(WIN+Rキーからgpedit.mscを実行する)
- コンピューターの構成->Windowsの設定→セキュリティの設定→ローカルポリシー->監査ポリシーを開く。
- オブジェクトアクセスの監査を開き、次の場合に監査する、で成功と失敗にチェックを入れる。
- グループポリシーエディタを閉じる。
*** フォルダの監査設定 [#j90f5cce]
- エクスプローラーで共有フォルダのプロパティを開く。
- セキュリティタブを選び、詳細設定をクリックする。
- 監査タブを選び、続行をクリックする。
- 追加をクリックして、監査対象のユーザ(共有フォルダにアクセスするユーザー)を入力する。
- ダイアログを閉じる。
*** イベントログの確認 [#x59748db]
- イベントビューアーを起動する。
- Windowsログ->セキュリティを開く。
- イベントID 4656 でフィルター適用する。
** 参考 [#hd590803]
- https://www.sevenforums.com/tutorials/123362-audit-log-access-shared-folders.html
- https://www.netwrix.com/detecting_file_changes_in_shared_folder.html
