ファイル変更監視

ファイル変更監視で 1 つ以上のディレクトリを監視できます。 またディレクトリ内の特定ファイルに変更 が発生すると通知されます。 以下のケースで通知されます。 

z ディレクトリにファイルが追加  z ディレクトリからファイルが削除  z ファイルサイズの増加 

z ファイルサイズの減少 

z ファイルのチェックサム（SHA）変更   

更に EventSentry は全ての変更をデータベースに記録できます。 また監視対象のディレクトリ内で作 成された、現時点のステータスと変更履歴の確認ができます。 

      101 

ファイル監視 vs.ファイルアクセス追跡をご参照下さい。 ファイルアクセス追跡機能と  本機能の比較です。 

Specifying directories の監視開始前に、オブジェクトの General 監視オプションを設定してください。 

Monitoring Interval/Type  Monitor folder(s) in real time 

デフォルトでは、リスト記載のディレクトリはリアルタイムで監視します。ディレクトリに影響を与える変更 が発生すると OS は EventSentry に通知する、という事です。 これは最も効果的な監視オプションです。

監視対象ディレクトリに大量のファイル（100 以上）があり、頻繁に変更する場合、追加する必要ないか もしれません。 

リアルタイムで監視する場合、以下の作業を推奨します。 Checksum Oprimizations セクションの Only  verify checksum when last write time changed チェックボックスをチェック。 

      102  また、以下の方法も推奨します。リアルタイムの監視フォルダに追加して、循環監視オプションを設定し ます。 これにより、OS は EventSentry へリアルタイム通知を送信しません。 

Monitor every X seconds 

リアルタイムでフォルダを監視する代わり、循環スケジュールで監視できます。 例えば 10 分おき。ディ レクトリに大量のファイルがあり、頻繁に変更する場合、リアルタイム通知を必要としないディレクトリに 有効です。 

ご注意下さい。このファイル監視機能は際立って大量の CPU を消費します。 

特にチェックサム機能利用時や大量のファイルを含むフォルダ監視時。 

数千のファイルを含むフォルダを監視する場合、EventSentry エージェント（eventsentry̲svc/exe）の CPU 消費量は予想よりも高いです。その為、熟慮の上、以下の設定を調整して下さい。 

Monitor every x minute(s) はデフォルトの 1 時間以内に増加させます。 

チェックサム作成の回数を減らす為、 Ignore checksums for files lager than を  減少させる必要があります。 

必要なければ、 Detect file checksum changes は無効になります。 

Checksum Optimizations 

ファイルのチェックサムを監視する場合、可視化オプションの設定を推奨します。 このセクションで、シ ステム監視における EventSentry エージェントの負荷を減らします。 

Ignore checksums for files lager than 

監視ディレクトリに大量のファイルがある場合（例えば 50Mb 以上）、チェックサムの計算に時間が掛か ります。 またサーバー上の CPU 時間の大部分を使用します。チェックサム機能に対する最大ファイル サイズを設定することで、大量ファイルのチェックサム計算からのサービスを防御できます。 

Only verify checksum when last write time changed 

デフォルトでは、OS がファイル変更をレポートすると、監視対象ディレクトリ内にある各ファイルのチェッ クサムを計算します。 繰り返しますが、監視対象ディレクトリに大量のファイルがあると、大量の CPU を消費します。この設定を有効化すると、最後に変更したファイルのチェックサムに限り、このエージェ ントは計算、比較します。 

Database 

データベースを指定します。セントラルデータベースへ変更を記録するようにディレクトリが設定される と、このデータベースを使用します。 

      103  5.5.9.1 ディレクトリの管理 

ディレクトリを追加するには、 File Monitoring セクション内の＋アイコンをクリックします。 

このセクションは Add/Edit Monitored Folder ダイアログで表示されます。このダイアログで指定できる のは： 

z 監視対象ディレクトリ 

z ディレクトリ内の監視対象ファイル  z 監視対象アトリビュート/プロパティ  z データベースに変更を記録する/しない 

  最初に Folder フィールド内で監視ディレクトリを指定します。または Brouse ボタンをクリックしてフォ ルダを閲覧します。パス名%SYSTEMROOT%のような環境変数を使用します。次にフォルダ内のどのフ ァイルを監視するか指定します。また、追跡する変更も指定します。 

      104  Files 

デフォルトでは、エージェントは指定ディレクトリ内の全ファイルを監視します。 ですが、指定ディレクト リ内でどのようにファイルを監視するか、カスタムできます。少数の例外を除き全てのファイルを監視す るか、特定のファイルのセットだけを監視するか、選択できます。 

Include all files in the selected folder, except for exclusion below 

この設定で監視するのは選択したフォルダ内の全ファイルです。 フォルダ選択は例外ファイル や Exclusions リスト記載のワイルドカードで行います。 例えば、+や-アイコンをクリックして、監視対 象から除外したいファイルを追加/削除します。 

ご注意下さい：ワイルドカードサポートが有効な場合、完全なファイル名で指定しない時は、ワイルドカ ードを付けて下さい。 例えば dll 拡張子付きファイルを全て除外するには、 *dll と入力して下さい。 

Only monitor files are included below 

この設定を有効化すると、指定ディレクトリ内の特定ファイルのセットのみ監視できます。 例えば、+や -アイコンをクリックして、監視対象ファイルを追加/削除します。 

Monitor the following changes 

Detect File Additions:  ディレクトリに新ファイルが追加された時  Detect file deletions:     ディレクトリからライルが削除された時 

Detect file Checksum Changes: ファイルのチェックサム変更時 256-bitSHA チェックサム使用  Detect file size increases:   ファイルサイズ増加時 

Detect file size decreases:     ファイルサイズ減少時   

Alert 

変更を検出すると、アプリケーションイベントログに１イベント、エージェントは記録します。また、選択さ れたデータベース内での全ての変更を追跡します。 

Log to Event Log as: 指定セベリティでアプリケーションイベントログへ変更を記録します。 

詳細は Event Log をご参照下さい。 

Log to Database:  親ダイアログで選択したデータベースに変更を記録します。 

5.5.9.2 イベントログ

  Event  ID 

イベント

表記  例： 

      105 

12200  A  ASH-256  checksum  change  has been  detected 

チェックサム SHA-256 が確認されました。 

File: C:¥WINDOWS¥system32¥ntoskrnl.exe  以前のチェックサム: 

B2728620F63488A32597DD97EA40F54460C55D97942748716051F60199C  682F8 

新しいチェックサム: 

FE12E1FAEAE5DDF34A93128C7009B69EE88249E6B28BC3D279F2E37AD D3EDC52 

上記のファイルコンテンツは改変されました。 

12201 

A file size  change  has been  detected 

ファイルサイズの変更を確認しました。 

File: C:¥WINDOWS¥system32¥MRT.exe  Old Size: 12,619,736 byte(s) 

New Size: 13,511,640 byte(s)  Change: +891,904 byte(s) 

12202  A file has  been add 

監視ディレクトリにファイルが追加されました。 

Directory: C:¥WINDOWS¥system32 

File: C:¥WINDOWS¥system32¥̲000007̲.tmp.dll  Size: 14,640 byte(s) 

Checksum: 

93BB82EB2786708ADD9F1538283658EE949AA79E658196F0386AD88FB6  1320B1 

12203 

A file has  been  deleted 

監視ディレクトリからファイルが削除されました。 

Directory: C:¥WINDOWS¥system32  File: ̲003244̲.tmp.dll 

Last size: 822,272 byte(s)  Last checksum: 

FE2FE85EC553E8DFE0B04900EFE5BDA53F0F087730BDEBB95F681A0D  F9900938 

      106