Windowsで”ファイル”にアクセスしているプロセスを確認する方法

あるアプリケーションの設定ファイルが書き変わり動作しなくなる不具合を「監査ポリシー」を利用して調査した時の話です。あまり利用する機会はないと思いますので、備忘録的な記事になります。

早速手順です。
１．コマンドプロンプトで「gpedit.msc」コマンドを実行し、ローカルグループポリシー エディターを起動する。

あまり利用する機会のないアプリです

２．「コンピュータの構成」、「Windows の設定」、「セキュリティの設定」、「ローカル ポリシー」、「監査ポリシー」の順に選択「オブジェクトアクセスの 監査」項目を開き「成功,失敗」にチェックを入れる。

画面に詰め込みすぎました

３．つぎに調査したいファイルを右クリックして、ショートカットメニューから、「プロパティ」を選択する。

サブメニューは画像加工して短くしています

４．「セキュリティ」タブを選び、画面下側の「詳細設定」をクリック。

かなり複雑な手順となります

５．新たにウインドウが開くので、「アクセス許可」タブで「追加」をクリックする。

６．「アクセス許可エントリ画面」で、画面上側にある「プリンシパルの選択」をクリックする。

青色文字で小さく書かれています

７．「選択するオブジェクト名を入力してください」に「everyone」と入力し「OK｣をクリックする。

８．画面が戻るので、「基本のアクセス許可」を全てチェック 後、「OK｣をクリックするとアクセス許可にエントリが追加される。

あとは問題を再現させた後、イベントビューアーでイベント ID「4656」を
フィルタリングすれば、アクセス要求のログを抽出できます。