定義済みパス内のファイル/フォルダに対する各種アクセスを監視します。

FileAuditは、Windowsイベントビューアのセキュリティ監査ログからアクセスログを取得します。

下記のアクセスイベントが記録されます：

Windows access type
Delete	ユーザーがファイル/フォルダの削除を試みた
Ownership	ユーザーがファイル/フォルダの所有権取得を試みた
Permissions	ユーザーがファイル/フォルダのパーミッション変更を試みた
Write	ユーザーがファイル更新を試みた
Execute	ユーザーが実行可能ファイルの実行を試みた*
Read	ユーザーが「Read（読み込み）」モードでのファイルオープンを試みた
System	システム・アクセス・コントロール・リスト (SACL) (ファイル/フォルダの監査エントリ) の読み取りまたは書き込みを試みた (Vista以前のOS のみで利用可能)
Write attributes	ユーザーがファイル属性変更を試みた（読み込み専用/隠しファイル等）
Rename	ユーザーがファイル名変更を試みた（Vista/Windows Server 2008 以降を使用している場合に利用可能）
Move	ユーザーがファイル/フォルダの移動を試みた（Vista/Windows Server 2008 以降を使用している場合に利用可能）
Other	複合イベント。ここでは、イベントは複数のアクセスイベント（例：WriteとEwad、DeleteとReadなど）を組み合わせて使用することができます。(Windows 2003 Server のみ)

*…「Execute」のアクセスタイプは、監査対象の実行可能ファイルが、ファイルサーバーのローカル上で

クラウドストレージ

接続したクラウドストレージプロバイダ内のすべてのファイル/フォルダに対する各種アクセスを監視します。

FileAuditは、ストレージプロバイダの監査ログからアクセスログを取得します。

記録されるアクセスイベントの種類は、プロバイダやファイルへのアクセス方法によって異なるという点にご注意ください。

下記が対象となります：

	Box	Dropbox	Google Drive	OneDrive
Read(読み込み)	✔*1	✔*1	✔*1	✔*2
Write(書き込み)	✔	✔	✔	✔
Delete(削除)	✔	✔	✔	✔
Move(移動)	✔	✔*1	✔	✔
Copy(コピー)	✔*1	✔*1	✔*1	✔*1
Create(作成)	✔	✔	✔	✔
Rename(名称変更)	×	✔	✔	✔
Download(ダウンロード)	✔	×	✔	✔
Shared(共有)	×	✔*3	✔	✔
Unshared(共有解除)	×	✔*1	✔	×
Destroy from trash(ゴミ箱から完全削除)	×	✔*1	✔*1	✔*1
Restore from trash(ゴミ箱からリストア)	×	✔*1	✔	✔*1
Revert(切り戻し)	×	✔	×	×
Lock(ロック)	✔	×	×	×
Unlock(アンロック )	✔	×	×	×
Check in(チェックイン) *4	×	×	×	✔
Check out(チェックアウト) *5	×	×	×	✔
Undo Check out(チェックアウトの取り消し) *6	×	×	×	✔

*1:　WEBサイトからのみ

*2:　WEBサイトまたはOffice2016アプリからのみ

*3:　リアルタイムの通知はないが、次のイベントで通知される

*4:　Sharepoint onlineのチェックアウト/チェックイン操作

*5:    SharePoint Onlineでユーザーがファイルをチェックアウト

*6:    SharePoint Onlineでユーザーがファイルのチェックアウトを取り消し