ак настроить аудит и фиксировать,кто удаляет документы и папки?

Страница 1 из 1

Вы не можете начинать новые темы
Вы не можете отвечать в этой теме

ак настроить аудит и фиксировать,кто удаляет документы и папки? Как настроить отчеты и алерты на емейл? Оценить тему:

#1 Dmitry I.

Участник

Отправлено 14 November 2008 - 16:26

Помогите, пожалуйста, организовать:

Требуется настроить слежение за тем, кто удаляет файлы или папки.

Аудит для сервера - включил.
Все операции которые делаются с объектами фиксируются в журнале сообщений в просмоторщике событий в папке Безопасность.

Но, по этому журнала определить кто именно удалил конкретную папку или документ - сложно.
Как это правильно организовать - фиксировать кто удаляет папки и файлы?
Можно ли настроить, что бы приходило сообщение об этом на мейл?

Наверх of the page up there ^

#2 shs

Многописатель

Отправлено 14 November 2008 - 16:39

Dmitry I., 14.11.2008, 16:26, сказал(а):

Но, по этому журнала определить кто именно удалил конкретную папку или документ - сложно.

можно "парсить" логи, при помощи logparser, например

Dmitry I., 14.11.2008, 16:26, сказал(а):

Можно ли настроить, что бы приходило сообщение об этом на мейл?

можно. см. в сторону event triggers

Наверх of the page up there ^

#3 WindowsNT

Проктоколог от IT

Отправлено 14 November 2008 - 16:48

Dmitry I., 14.11.2008, 15:26, сказал(а):

1. Включить аудит успешных событий типа Object Access.
2. Отрегулировать размер журнала и параметры перезаписи.
3. В свойствах папки Shared Documents (и других папок общего доступа) включить Аудит на Успешные Everyone: Delete, Delete Subfolders and Files.

В случае обнаружения пропажи документов: идём в журнал Security, фильтруем по событию 560 (Object Access) и смотрим.
Не каждое удаление означает удаление. Например, удаление документов является частью механизма нормальной работы программ Microsoft Office при Сохранении. Высылать уведомления проблематично:
- стандартной команды высылки нет, можете найти BLAT
- команда eventtriggers может ловить появляющиеся события, но проблематика "как отличить легальное удаление от нелегального" заставит вас отказаться от своей идеи. Максимум, можете попробовать скриптами анализировать время удаления - и, если получится "пять удалений в секунду", тогда уже высылать алерт.

Наверх of the page up there ^

#4 Dmitry I.

Участник

Отправлено 14 November 2008 - 16:54

WindowsNT, 14.11.2008, 16:48, сказал(а):

Dmitry I., 14.11.2008, 15:26, сказал(а):

Спасибо, я вот про тоже, похоже, получаетя нужно сначала вручную отфильтровать по коду, потом их все прсоматреть, и где-то внутри события в тексте найти нужное название папки. Учитывая, что событий на удаление может быть очень много, то найти нужное, я так понимаю будет очень проблематично.

Наверх of the page up there ^

#5 altaranenco

ЫССЬ

Отправлено 14 November 2008 - 17:08

Dmitry I., 14.11.2008, 16:54, сказал(а):

Можно скриптом, например на PowerShell

Get-EventLog security | ?{$_.eventid -eq eventid_события_удаления -and $_.message -like "*допустим пусть к файлу*"} | select -first 10 | %{$_.message}

Наверх of the page up there ^

#6 Dmitry I.

Участник

Отправлено 14 November 2008 - 17:28

altaranenco, 14.11.2008, 17:08, сказал(а):

Dmitry I., 14.11.2008, 16:54, сказал(а):

Можно скриптом, например на PowerShell

Get-EventLog security | ?{$_.eventid -eq eventid_события_удаления -and $_.message -like "*допустим пусть к файлу*"} | select -first 10 | %{$_.message}

Со с криптами еще особо не работал. Как скрпит запустить? Просто запустить файл bat с текстом скрпта?Или .vbs? Или другой?

Наверх of the page up there ^

#7 altaranenco

ЫССЬ

Отправлено 14 November 2008 - 22:52

Dmitry I., 14.11.2008, 17:28, сказал(а):

Ну в принципе да -просто запустить :D Только это Powershell придеться скачать и установить.
Более подробно читайте тут

Для каких именно объектов нужно обрабатывать события аудита?

Наверх of the page up there ^

#8 Camelot

Генерал-флудер

Отправлено 16 November 2008 - 01:20

как бы мой вариант на повершелле:

$Data = New-Object System.Management.Automation.PSObject 
$Data | Add-Member NoteProperty Time ($null) 
$Data | Add-Member NoteProperty UserName ($null) 
$Data | Add-Member NoteProperty FileName ($null) 
$Data | Add-Member NoteProperty EventCount ($null) 
$Events = Get-EventLog security | ?{$_.eventid -eq 560 -and 
	$_.EntryType -eq "SuccessAudit" -and 
	$_.message -like "*Object Name:`tD:\Shared Documents\*" -and 
	$_.message -like "*Accesses:`t%delete*" 
} 
$UniqueTime = $Events | select -Unique TimeGenerated | %{($_.timegenerated).datetime} 
foreach ($time in $UniqueTime) {[object[]]$SelectedEvents = $Events | ?{($_.timegenerated).datetime -eq $time} 
	if ($SelectedEvents.count -ge 5) { 
	$Data.EventCount = $SelectedEvents.Count 
	$SelectedEvents | %{ 
	$message = $_.message.split("`n") |	%{$_.trim()} 
	$Data.time = $_.TimeGenerated 
	if ($message -like "Primary User Name:`t*$") { 
		$Data.UserName = ($message | ?{$_ -like "Client User Name:*"} | %{$_ -replace "^.+`t *"})} 
	else { 
		$Data.UserName = ($message | ?{$_ -like "Primary User Name:*"} | %{$_ -replace "^.+`t *"})} 
	$Data.FileName = ($message | ?{$_ -like "Object Name:*"} | %{$_ -replace "^.+`t *"}) 
	$Data 
		} 
	} 
}

за подробностями ко мне в блог (это ни разу не спам :D ).

Вывод будет такой:

Time						  UserName			  FileName							  EventCount
----						  --------			  --------							  ----------
2008.11.15. 23:33:44		  Administrator		 C:\New Folder\dasblog						140
2008.11.15. 23:33:44		  Administrator		 C:\New Folder\dasblog\bin					140
2008.11.15. 23:33:44		  Administrator		 C:\New Folder\dasblog\bin\AR				 140
2008.11.15. 23:33:44		  Administrator		 C:\New Folder\dasblog\bin\...				140
2008.11.15. 23:33:44		  Administrator		 C:\New Folder\dasblog\bin\...				140

з.ы. работает только на Windows Server 2003. На Vista/2008 не работает совсем, а на XP требует напильника.

Наверх of the page up there ^

#9 Dmitry I.

Участник

Отправлено 20 November 2008 - 13:10

altaranenco, 14.11.2008, 22:52, сказал(а):

Для каких именно объектов нужно обрабатывать события аудита?

Для папок.

Спасибо.

Наверх of the page up there ^