直接参照用URL: https://www.runexy.co.jp/support/faq/mylogstar/68000003011
※MylogStar 4 Release7 (14.0.7012.1) で、本FAQに記載するファイルフィルターを追加しなくても、該当のファイルログが取得されるように機能が強化されました。
ただし、Officeアドインを使用する関係で、Microsoft Office製品(Microsoft Excel、Word、およびPowerPoint)の起動時に「Microsoft Office カスタマイズ インストーラー」が表示される場合があります。表示された場合の対処方法はこちらのFAQをご参照ください。
- リリース日やその他不具合の修正等の情報については「リリースノート」を参照してください。
- お問い合わせやアップデートのお申し込みは「サポート – MylogStar」からお願いいたします。
※本FAQでは、パッケージ版を含む Microsoft 365 アプリ(Microsoft Word、PowerPoint、Excelのみ)のログ取得について説明しています。以下、「M365」と記載します。
M365側の仕様により、上書き保存時のログがDefault Policyのフィルター内容では取得が出来ない場合があるため、その場合は、MylogStar 4 Release6(以下「Release6」と記載)以降にアップデートしていただき、併せて後述するフィルター条件を既存のポリシーに追加してください。
なお、M365側の仕様により、上書き保存の時に生成される一時ファイルに対して「保存」イベントが発生するため、Release6以降では前述のフィルター条件と組み合わさり、そのイベントを監視して上書き保存したときの証跡が追えるようになります。
ただし、取得される操作ログ量が多くなる場合があることはあらかじめご了承ください。
フィルター条件の設定例
※ここではDefault Policyをテンプレートとしてポリシーを新規作成し、ファイルフィルターを以下のように設定します。
※MylogStar 4 Enterpise向けの説明となりますが、MylogStar 4 Standalone Managerを導入いただくと同様の手順でMylogStar 4 Desktop / ServerAudit用のポリシーが作成可能です。ポリシーの適用方法は、Standalone Manager ユーザーマニュアルの「目次 >> MylogStar Desktop / ServerAuditとの連携 > MylogStar Desktop / FileServer端末へのポリシー適用」をご参照ください。
① Word、PowerPoint、Excelで上書き保存したときに発生する、一時ファイルへの保存のログを取得するフィルターを追加する。
<設定方法>
- アプリケーション名「powerpnt.exe」、操作内容「保存」、拡張子(操作前)「.tmp」のフィルターを追加します。
- アプリケーション名「excel.exe」、操作内容「保存」、拡張子(操作前)「.tmp」のフィルターを追加します。
- アプリケーション名「winword.exe」、操作内容「保存」、拡張子(操作前)「.tmp」のフィルターを追加します。
- アプリケーション名「excel.exe」、操作内容「保存」、ファイル名(操作前)「*00」のフィルターを追加します。
- 位置は、一番最後の破棄フィルターの一つ上に配置します。
上記4つのフィルターの順番は任意で問題ありません。
- Word、PowerPoint、Excelともに、上書き保存を実行すると元のファイルと同じ同一フォルダーに一時ファイルの保存処理が行われていましたので、これをログ化します。
M365環境の動作を確認した限りでは、必ず1回の上書き保存で、1回の一時ファイルのログが取得されるため、この一時ファイルの保存ログと名前変更のログを組み合わせて、Word、PowerPoint、Excelの上書き保存の操作を特定します。 - Excelの一時ファイルは、ローカルドライブの場合は拡張子なしの「f7b91000」や「a2961000」といったファイル名の一時ファイルに保存されることが確認されています。
動作を確認した限りでは、サフィックスが「000」となっているようですので、「00」に後方一致するファイル名をログ取得するフィルターを追加しています。
※「000」でも構いません。 - 共有フォルダーの場合は拡張子「.tmp」の一時ファイルに保存されることが確認されています。
② 不要な一時ファイルを破棄するフィルターを追加。
<設定方法>
- アプリケーション名「powerpnt.exe」、操作内容「保存」、拡張子(操作前)「.tmp」、パス(操作前)「*\users\*\appdata\local\*」の設定で、ログを「破棄」するフィルターを追加します。
- アプリケーション名「winword.exe」、操作内容「保存」、拡張子(操作前)「.tmp」、パス(操作前)「*\users\*\appdata\local\*」の設定で、ログを「破棄」するフィルターを追加します。
- アプリケーション名「excel.exe」、操作内容「保存」、拡張子(操作前)「.tmp」、パス(操作前)「*\users\*\appdata\local\*」の設定で、ログを「破棄」するフィルターを追加します。
- 位置は、①で追加したフィルターの上に配置します。
- ①で追加したフィルターによって取得されるようになった一時ファイルの操作ログから、「*\users\*\appdata\local\*」フォルダー内の操作ログを破棄します。
(例)上書き保存したときに取得されるログ
■ Excelの上書き保存
<説明>
- Excelで「excelの上書き保存.xlsx」を開き、上書き保存を実行したときのログです。
※ ログの並び順は取得時刻の降順です。
① 一時ファイル「16451000」への保存のログが取得される。
② 「excelの上書き保存.xlsx」から一時ファイル「d598b2d4.tmp」への
名前変更のログが取得される。
③ ①で保存のログとして取得された一時ファイル「16451000」から
「excelの上書き保存.xlsx」への名前変更のログが取得される。
※ 一時ファイルのファイル名は不定です。
② 「excelの上書き保存.xlsx」から一時ファイル「d598b2d4.tmp」への
名前変更のログが取得される。
③ ①で保存のログとして取得された一時ファイル「16451000」から
「excelの上書き保存.xlsx」への名前変更のログが取得される。
※ 一時ファイルのファイル名は不定です。
■ Wordの上書き保存
<説明>
- Wordで「wordの上書き保存.docx」を開き、上書き保存を実行したときのログです。
※ ログの並び順は取得時刻の降順です。
① 一時ファイル「~wrd000.tmp」への保存のログが取得される。
② 「wordの上書き保存.docx」から一時ファイル「~wrl0001.tmp」への
名前変更のログが取得される。
③ ①で保存のログとして取得された一時ファイル「~wrd000.tmp」から
「wordの上書き保存.xlsx」への名前変更のログが取得される。
※ 一時ファイルのファイル名は不定です。
② 「wordの上書き保存.docx」から一時ファイル「~wrl0001.tmp」への
名前変更のログが取得される。
③ ①で保存のログとして取得された一時ファイル「~wrd000.tmp」から
「wordの上書き保存.xlsx」への名前変更のログが取得される。
※ 一時ファイルのファイル名は不定です。
■ PowerPointの上書き保存
<説明>
- PowerPointで「powerpointの上書き保存.pptx」を開き、上書き保存を実行したときのログです。
※ ログの並び順は取得時刻の降順です。
① 一時ファイル「pptbd1e.tmp」への保存のログが取得される。
② 「powerpointの上書き保存.docx」から一時ファイル「a078a286.tmp」への
名前変更のログが取得される。
③ ①で保存のログとして取得された一時ファイル「pptbd1e.tmp」から
「powerpointの上書き保存.xlsx」への名前変更のログが取得される。
※ 一時ファイルのファイル名は不定です。
② 「powerpointの上書き保存.docx」から一時ファイル「a078a286.tmp」への
名前変更のログが取得される。
③ ①で保存のログとして取得された一時ファイル「pptbd1e.tmp」から
「powerpointの上書き保存.xlsx」への名前変更のログが取得される。
※ 一時ファイルのファイル名は不定です。
| キーワード |
|
この記事は役に立ちましたか?
それは素晴らしい!
フィードバックありがとうございます
お役に立てず申し訳ございません!
フィードバックありがとうございます
フィードバックを送信しました
記事の改善におけるご協力ありがとうございます。