4985 トランザクションの状態変更
ファイルシステムのトランザクションの状態が変化したときに記録される情報イベント。トランザクション(TxF)を使うファイル操作の内部状態を示す。
概要
サブカテゴリは Audit File System ほか(特権使用系も含む)。ファイルシステムのトランザクションマネージャ(KTM/TxF)が、トランザクションの状態変化を報告する情報イベント。複数のファイル操作をまとめて確定/取消する仕組みの内部動作を示す。
発生契機・方法
- トランザクション対応のファイル操作で、トランザクションの状態(開始・確定・ロールバック等)が変化したとき。
セキュリティ上の確認事項
- 基本は情報イベントで、単体での security 価値は低い。トランザクションを使うファイル操作(例: 一部のインストーラ)の動作把握に使う程度。
- ファイルアクセス監査の文脈で、対象オブジェクトへのアクセス系イベント(4663 等)と併せて読む補助情報。
ログレビュー時の注意観点
- 情報イベントとして大量に出ることがある。単体で検知に使うより、ファイル操作の流れの補足として扱う。
主なフィールド
| フィールド | 意味 |
|---|---|
| トランザクション ID | 対象トランザクション |
| 状態 | 変化後の状態 |
用語メモ
- TxF / KTM — 複数のファイル操作をひとまとまり(トランザクション)として確定/取消できる Windows の仕組み。