ビュー:
注意
注意
変更監視モジュールは、ディレクトリレジストリ値レジストリキーサービスプロセスインストール済みソフトウェアポートグループユーザ、ファイル、およびWQLエージェントに関するクエリステートメント。変更監視を有効にして設定するには、変更監視の設定を参照してください。
FileSetタグは、ファイルのセットを記述します。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性
説明
必須
初期設定値
設定できる値
base
FileSetのベースディレクトリを設定します。タグ内の他のすべては、このディレクトリに関連しています。
はい
該当なし
構文的に有効なパスに解決される文字列値 (Pathが存在する必要はありません)。 [注意]: UNCパスはWindowsエージェントによって許可されますが、リモートシステムがAgentコンピュータの「LocalSystem」アカウントによるアクセスを許可する必要があります。エージェントはWindowsサービスであり、LocalSystem (NT AUTHORITY\\SYSTEM) として実行されます。 LocalSystemは、ネットワークリソースにアクセスするときに、コンピュータの認証情報を使用します。この資格情報は、 \DOMAIN\ \MACHINE\ $という名前のアカウントです。リモートコンピュータに提示されるアクセストークンには、そのコンピュータの「Administrators」グループも含まれているため、リモート共有では、Agentコンピュータのアカウント、AgentコンピュータのAdministratorsグループ、または「Everyone」のいずれかに読み取り権限を付与する必要があります。基本値が構文的に有効でない場合、FileSetは処理されません。残りの設定が評価されます。
onChange
対象のファイルをリアルタイムで監視する必要があるかどうかを示します。
いいえ
false
true、false
followLinks
このFileSetはシンボリックリンクを追跡します。
いいえ
false
true、false

エンティティセットの属性

次に示すFileSetの属性は、変更監視ルールによって監視可能な属性です。
注意
注意
Linux環境でのCreated、LastModified、およびLastAccessedの場合、リアルタイム変更監視モジュールは、ファイルの内容が変更された検索を検出しますが、ファイルへのアクセス、ファイルの読み取りなどの変更は検出しません。ファイルが変更された時刻などのメタデータのみ。
  • [作成:] ファイル作成時のタイムスタンプ
  • [LastModified:] ファイルが最後に変更されたときのタイムスタンプ
  • [LastAccessed:] ファイルが最後にアクセスされたときのタイムスタンプ。 Windowsでは、この値はすぐには更新されません。パフォーマンスを向上させるために、最終アクセス日時のタイムスタンプの記録を無効にできます。参照ファイル時間詳細については、この属性のもう1つの問題は、ファイルを検索するためにAgentがファイルを開く必要があるため、最終アクセスのタイムスタンプが変更されることです。 UNIXでは、ファイルを開くときにO_NOATIMEフラグが使用可能な場合、Agentはこのフラグを使用します。これにより、OSが最終アクセスのタイムスタンプを更新することなく、検索を高速化できます。
  • [権限:] ファイルのセキュリティ記述子 ( SDDL形式) (Windowsの場合) またはPosix形式のACL (ACLをサポートするUnixシステムの場合)。
  • [所有者:] ファイル所有者のユーザID (通常、Unixでは「UID」と呼ばれます)
  • [グループ:] ファイル所有者のグループID (Unixでは通常「GID」と呼ばれます)
  • [サイズ: ] ファイルのサイズ
  • [Sha1:] SHA-1ハッシュ
  • **Sha256:**SHA-256ハッシュ
  • [Md5:] MD5ハッシュ (非推奨)
  • [フラグ:] Windowsのみ。によって返されるフラグGetFileAttributes() Win32 API。 Windowsエクスプローラでは、これらをファイルの「属性」と呼びます。読み取り専用、アーカイブ済み、圧縮済みなどです。
  • [SymLinkPath] (UNIXおよびLinuxのみ): ファイルがシンボリックリンクの場合、リンクのパスがここに格納されます。 Windows NTFSでは、Unixと同様のシンボリックリンクがサポートされますが、ファイルではなくディレクトリに対してのみサポートされます。 WindowsショートカットオブジェクトはOSによって処理されないため、実際のシンボリックリンクではありません。 Windowsエクスプローラはショートカットファイル (*.lnk) を処理しますが、*.lnkファイルを開く他のアプリケーションにはlnkファイルの内容が表示されます。
  • [Inode番号] (UNIXおよびLinuxのみ): ファイルに関連付けられたinodeが格納されているディスクのinode番号
  • [デバイス番号] (UNIXおよびLinuxのみ): ファイルに関連付けられたiノードが格納されているディスクのデバイス番号
  • [割り当てられたブロック数] (LinuxおよびUNIXのみ): ファイルの保存に割り当てられたブロック数。
  • Growing: (DSA 7.5以降) では、スキャン間でファイルのサイズが同じまたは増加する場合は「true」、それ以外の場合は「false」が含まれます。これは主に、データが追加されたログファイルに役立ちます。ログファイルをロールオーバーすると、この属性が変更されることに注意してください。
  • Shrinking: (DSA 7.5以降) では、スキャン間でファイルのサイズが同じまたは減少している場合は「true」、それ以外の場合は「false」が含まれます。

簡略記法による属性

次に、簡略記法による属性と、それらがマッピングされる属性を示します。
  • [CONTENTS:] で設定されたコンテンツハッシュアルゴリズムに解決されます。[コンピュータエディタとポリシーエディタ] [変更監視] [詳細]
  • [STANDARD:] Created、LastModified、Permissions、Owner、Group、Size、Contents、Flags (Windowsのみ)、SymLinkPath (Unixのみ)

ディレクトリとしてマウントされたドライブ

ディレクトリとしてマウントされたドライブは他のディレクトリと同様に扱われます。ただし、ネットワークドライブである場合、そのドライブは無視されます。

代替データストリーム

NTFSベースのファイルシステムは、代替データストリームの概念をサポートします。この機能を使用すると、概念的にはファイル内のファイルのように動作します。
注意
注意
この機能のデモを実行するには、コマンドプロンプトに以下のコマンドを入力します。 
 echo plain > sample.txt echo alternate > sample.txt:s more < sample.txt more < sample.txt:s
最初の「more」には「plain」というテキストのみが表示されます。このテキストは、メモ帳などの標準のテキストエディタでファイルを開いた場合に表示されるテキストと同じです。 sample.txtの「s」ストリームにアクセスする2番目の「more」では、文字列「alternate」が表示されます。
FileSetの場合、ストリームが指定されていない場合は、すべてのストリームが含まれます。各ストリームは、ベースライン内の個別のエンティティエントリです。ストリームで使用可能な属性は次のとおりです。
  • [サイズ]
  • [Sha1]
  • [Sha256]
  • [Md5] (非推奨)
  • [内容]
次の例では、前のデモで使用したストリームが両方とも含まれます。
<include key="**/sample.txt" />
特定のストリームを含めたり除外したりするには、「:」を使用します。次の例では、メインのsample.txtストリームではなく、sample.txtの「s」ストリームのみに一致します。
<include key="**/sample.txt:s" />
ストリーム表記ではパターンマッチングがサポートされます。次の例では、sample.txtを含めますが、代替ストリームはすべて除外します。
<include key="**/sample.txt" />
<exclude key="**/sample.txt:\*" />

「key」の意味

キーは、「base」で指定されたディレクトリを基準としたファイルの相対パスと照合するパターンです。これは階層パターンで、「/」で区切られたパターンのセクションが、指定されたOSのファイルセパレータで区切られたパスのセクションと一致します。

サブエレメント

  • [含む]
  • [除外]
参照変更監視ルールの言語許可された属性とサブ要素について、[含める] と [除外] の概要を説明します。ここには、FileSetエンティティセットクラスに関連するインクルードとエクスクルードに固有の情報のみが含まれます。

ファイルセットの包含および除外の特殊属性

[executable]: ファイルが実行可能かどうかを判断します。これは、権限によって実行が許可されていることを意味するものではありません。代わりに、プラットフォームに応じてファイルの内容がチェックされ、ファイルが実行可能ファイルであるかどうかが判断されます。
注意
注意
これは、Agentがファイルを開き、その内容の最初の1~2バイトを調べて有効な実行可能イメージのヘッダを探す必要があるため、比較的負荷の高い処理です。すべてのファイルを開いて読み取ることは、単にディレクトリを検索し、ワイルドカードパターンに基づいてファイル名を照合するよりもはるかに負荷が高くなります。