Share via


明示的にアクセスをしていないファイルに対して、監査ログが記録される

Update : 2.8.2018  複数回記録されるケースの追記

SharePoint サポートの川添です。

今回の投稿では、明示的にアクセスをしていないファイルに対して、監査ログが記録される事象について記載します。

SharePoint へのアクセスは、SharePoint がリクエストを受信し、処理を完了後した際に、IIS ログに記録されます。そのため、監査ログに記録される内容についても、IIS ログと同様の内容が記録されることが殆どです。しかしながら、監査ログに記録される内容は、IISログに記録されているURL部分のみを判断して記録されているものでは無いため、IIS ログと突き合わせた際、想定している全く同じログが記録されていない場合があります。

事象

1). ファイルへのアクセスを明示的に実施していない (ファイルを開いていない) にも関わらず、ファイルへのアクセスが記録されている

これは、ファイルをユーザー開いていないにもかかわらず、ファイルへのアクセスが監査ログに記録されているケースです。2 つの例を以下に挙げます。

A). Fast Search for SharePoint 2010 で検索を実施し、Office Web Apps によりサムネイル画像が表示される際にファイルへのアクセスが記録される

Fast Search for SharePoint 2010 では、Office Web Apps と連携することにより、Office ファイルの画像をサムネイルとして検索結果画面に表示することができます。内部的には、wacproxy.ashx や MobileSlideImage.ashx、MobilePageHandler.ashx 等のサムネイル画像を準備/取得するための URL にアクセスを行います。そのため、内部的にアクセスが発生することにより、監査ログにサムネイル画像を表示したファイルに対するアクセスが記録されます。

なお、Office Web Apps は作成した画像のキャッシュを保持するため、キャッシュが有効である場合には、ファイルへのアクセスは記録されません。

B). エクスプローラー ビューでファイルをシングル クリックしただけで、ファイルを開いていないにもかかわらず、ファイルへのアクセスが記録されている

SharePoint 2013 において、ドキュメント ライブラリをエクスプローラーで開くと、ライブラリ中のデータに対して PROPFIND リクエストが発行されます。この PROPFIND リクエストは、リソースのプロパティ情報を取得するために発行される WEBDAV リクエストです。この要求自体が監査ログに記録されるわけではありません。次に、ファイルをシングルクリックすると、ファイル自体は開かれることはありませんが、エクスプローラーの下部にタイトルや作成者、サイズの情報が表示されます。この際、ファイルの情報を取得するためのリクエストが発行され、ファイルへのアクセスが監査ログに記録されます。また、マウスをファイル上に載せてクリックしていない場合でも、ファイル情報が取得されることにより、同様の事象が発生します。

2). ドキュメント ライブラリ中のファイルを編集し、変更を保存した場合、全くの同時刻にファイルへのアクセスが複数記録される

A). SharePoint 2013 ドキュメント ライブラリにおいて、Office クライアント アプリケーションを利用して、ファイルを編集モードで開き、変更、保存した場合、全くの同時刻にファイルへのアクセスが複数記録されていることがあります。IIS ログからファイルへのアクセス記録を確認しても、対象ファイルへのアクセスは見当たりません。これは、Office 2010 では、Cobalt プロトコル (FSSHTTP : File Synchronization via SOAP of HTTP) を利用してファイルへのアクセス、差分を通信することができるようになっており、SharePoint 側のプロトコル実装として Cell Storage Service があります。IIS ログにはこのサービスに対する通信が記録されており、ファイルの閲覧や更新の内部処理で複数回アクセスが行われるため、監査ログにも複数回のアクセスが記録されます。

補足) 情報管理ポリシーをライブラリに設定している場合、追加で監査ログが同時刻に記録されることがあります。

B). SharePoint 2013 ドキュメント ライブラリにおいて、Office クライアント アプリケーションを利用して、ファイルを開いた場合、ほぼ同時刻にファイルへのアクセスが複数記録されることがあります。理由は A). と同様に Cell Storage Service によるアクセスによるものです。また、Cell Storage Service を無効にした場合であっても、ファイル/サーバーへの到達、情報の確認のため、およびファイル自体の取得のために HEAD リクエスト、GET リクエストが発生するため、結果的に複数回記録されることがあります。

 

上述のように、IIS ログに記録されるものと全くの同じ内容が、監査ログに記録されるわけではありません。説明した内容は一例ですので、別の操作を行った場合に、類似の状況が発生することもあり得ます。同様の現象が発生する操作を列挙することは不可能ですが、類似の状況が確認された場合には、適宜アップデートします。