Аудит & мониторинг доступа к файлам: вопросы и ответы.
Есть подключение по локалке, требуется прога, которая может вести лог подключений к моему компу, кто и когда захадил на мой комп и что качал. Или подскажите, как можно это оргагизовать стандартными виндовскими(winXP) методами, если таковые есть.
|
Нужно настроить аудит в ХР.
Для проведения аудита можно выбрать следующие категории событий. Аудит событий входа в систему Аудит управления учетными записями Аудит доступа к службе каталогов Аудит входа в систему Аудит доступа к объектам Аудит изменения политики Аудит использования привилегий Аудит отслеживания процессов Аудит системных событий Все это настроить не сложно, достаточно открыть в ХР хелп и произвести поиск по слову "аудит". Все достаточно ясно и понятно. |
NetView умеет всё вышеперечисленое! Яндекс в руки и вперед!
|
HELP! Как определить кто из пользователей домена стер файлы на сервере?
Hi, All
Кто-то из юзеров потер Wordовские файлы на серваке. Как их восстановить, я знаю. Но ОЧЕНЬ нужно сабж. :help: Как это можно сделать средствами операционки (Win2K Server) или другого ПО? Жду предложений. Вопрос ОЧЕНЬ срочный. Если кто может, помогите, pls. :молись: |
Включи Аудит на доступ к файлам (работает только на NTFS). В eventlog'e будут записи о каждом чтении/изменении/удалении файла. С именем пользователя... ;)
|
Ты имеешь ввиду "аудит доступа к объектам" в политике безопасности?
|
да это именно он
|
Цитата:
|
Пробовал настроить Аудит в безопасности на HTFS. Но какая-то лажа получается, вроде все настроил, а нигде информации не вижу. В каком журнале это должно быть?
А может всеже есть какой нибудь более удобный специальный софт, позволяющий, например, задавать маски файлов за которыми надо следить, имеет более гибкий и наглядный механизм настройки и отчетов? |
sergch
А аудит на самом объекте (объектах) включил? вкладка Безопасность - дополнительно. |
Сделал следующее, если что не так, поправте:
1.В локальных параметрах безопасности / Аудит доступа к объектам=успех,отказ 2. На обекте (расшареной папке): Свойства / Безопасность / Аудит / Дополнительно / Все / Удаление=успех,отказ. Наследование от родительского обекта - не отключал. Результат - на ХР - работает, на W2K - работает, на W2K PDC - неработает. Вопрос - где настраивать аудит для расшареных на PDC ресурсах - в локальных параметрах безопасности, параметрах для контролера или для домена? |
Цитата:
|
Логичный вопрос - где взять? Или хотябы - производитель и его www?
|
|
Снимаем Логи с шаренной папки под 2к Сервером
Собственно ищиться способ как снять логи кто был на шаренной папки что делал , сколько . всё ....
Аудит не предлогать . В наличии имеем 2к Сервер , работает как Файловый и ни чяго более |
Цитата:
Так не бывает... |
Я думаю что твой вопрос будет иметь больше смысла - а значит и помочь тебе смогут - если ты объяснишь причины почему стандартный аудит тебе не подходит
|
Всем привет. Пожалуйста посоветуйте.
Нужна программа, которая ведет лог доступа к общим ресурсам (просмотр, открытие, удаление ...). Можно конечно воспользоваться NTFS аудитом, но очень уж не удобно потом разбираться в журнале. Читал правда где-то про Log Parser, но найти не удалось. В поисковиках ничего толкового найти не удалось. Заранее всем СПАСИБО! |
Попробуйте NetView http://www.killprog.com/
с включеной функцией NetWatcher |
Цитата:
Было бы здорово например как в Undelete Server. Чтобы в столбцах: какой файл или папку, кто, когда, открыл, удалил ... |
Может подойдет:
KillWatcher от KillSoft простовата, но пока ищешь свой идеал подойдет |
Подскажите софт позволяющий вести аудит доступа к сет.файлам
Есть корпоративная сеть из 300 машин и 5 файловых серверов (4 Windows 2003 + 1 Novell Netware 6)
На машине подключены сетевые диски (net use) с разных серверов (Windows) и Netware (map, т.е. установлен Netware клиент). Рабочие станции: W2000 и WinXP Необходимо предоставлять еженедельный отчет по 5 пользователям из 300, какие сетевые файлы они открывали на чтение (пока интересует только открытие файлов, т.к. большинство ресурсов только на чтение). Настраивать родной аудит Windows на всех серверах, не вижу смысла. Короче попытка воспользоваться стандартными средствами аудита Windows не увенчалась успехом, невозможно произвести нормальный анализ лога. Стандартными средствами при том количестве событий, которые он генерит НЕРЕАЛЬНО, вообще что либо понять. Попытка воспользоваться GFI LANguard Security Event Log Monitor (S.E.L.M.) 5 тоже не увенчалась успехом, во-первых русские имена папок/файлов через одну корректно выводит. Во-вторых, хочет просто получить, что ПетровАА открывал файл: "Документы\Работа.xls" такого-то числа и все, минимум информации, максимум полезности. Программка EIQ SyslogAnalyzer тоже не понравилась. Такое впечатление, что на основе встроенного аудита Windows трудно получить элементарное? Может есть какие-нибудь программки, которые просто следят за обращениями к файлам из определенной папки и пишут это в лог. И ВСЕ??? Хотел еще пойти от рабочей станции, т.е. повесить какой-нибудь шпион, который будет следить за открытием сетевых файлов. Испробовал: StatWin7, SpyAgent, iOpus Starr PC Ниодна из них не умеет следить за открытием сетевых файлов. Т.е. когда пользователь открывает сетевой файл. Почему не следить за всеми открытыми файлами? Если у кого есть идеи, как произвести вроде бы элементарный аудит с получением отчета, прошу высказать свое мнение, может на какую-нибудь мысль натолкнете!!! P.S. Про Novell я пока молчу, т.к. там тоже дела не лучше, но первоочередная задача для Windows, но если у кого по Netware есть предложения с учетом изложенного выше, буду рад послушать. |
Склеиваю все темы по аудиту доступа к файлам.
http://www.imho.ws/showthread.php?t=47655 |
Возможно это не совсем аудит ...
Вопрос: Чем можно ограничить запись файлов по маске? Ситуация: Есть файл сервер. На нем шара. В шаре файлы (формы), которые открывает каждый на своем компе. Проблема: Программа скидывает в шару(!) дампы в случае, если форма застрелилась. В дампах есть конфидециальная информация. Нужно запретить запись дампов в шару. Имя файла дампа соответствует определенной маске ЗЫ: я так понял, что стандартными средствами винды это сделать нельзя. Возможно есть какой-то софт. |
SwiMMeR
а что если на клиенских машина установить галочку на этой папке автономная папка и все файлы будут на рабочих компах а на сервере подом будет происходить синхронизация |
oia
Если я правильно понял, то после синхронизации файлы все равно попадут на сервер. Их там быть не должно. |
SwiMMeR ну так можно батник создать и повесить nncron на сервак что будет проверять через н времени и убивать веременное файло
|
oia
Пока это рассматривается как запасной вариант. Если не сможем ограничить запись этих фалов, то будем удалять через Н секунд. Но мне кажется должна быть возможность ограничивать запись таких файлов. |
SwiMMeR
хотя можно ограничить через квоту например файло весит 1.5 мб тля юзверя установить квоту 2 мб |
...простите за транслит..
а программулина типа actualspy не может в етом быть полезна ? линка на homepage |
oia
так нельзя, потому что юзер формирует в эту папку большой темповый файл при печати больших документов на принтер someone312002 Цитата:
|
Посоветуйте программу для простмотра подключений к компу в сети
Нужна программа для отслеживания подключений к компу в сети
т.е. с какого IP чего делали (удаляли, копировали) и велась база по подключениям |
Не совсем понятно за чем тебе надо следить, так что держи список, а не конкретную прогу:
Active Ports мониторинг открытых портов FileMon мониторинг обращения к файлам KillWatcher монитор активных сетевых соединений. Позволяет видеть кто и что у Вас качает на данный момент и в прошлом. Можно прервать любую сессию. Ведет лог соединений. |
на компе есть общая папка
мне надо следить кто чего делал в этой папке и действия эти фиксировались. |
Тогда KillWatcher тебе подойдет. Еще советую глянуть сюда:
_http://mycomputer.ua/text/3633;jsessionid=26B77D53366765DB2CF36A4BE2F23970 Здесь описываются различные программы для защиты и мониторинга информации. |
Объеденяю с "Аудит доступа к файлам".
anatolik1, будь внимательнее. |
Цитата:
Делаешь папку автономной. Свою прогу запускаешь через батник. В котором первым действием будет запустить прогу. А вторым удалить (или перенести в нужное место) временные файлы по маске. Тогда при синхронизации они не попадут на сервак. |
Цитата:
Actual Spy http://www.imho.ws/showthread.php?t=98113&highlight=Actual+Spy |
Пардон если поздно, но на серваке без базара нужно держать shadow copy, тогда проблемм с востановлением не будет. А аудиты к доступу файлов - это что же за логи будут? -:че:-
|
Цитата:
Места такие логи всяко меньше потребуют, нежели ShadowCopy... А к восстановлению удалённого данная тема не относится, здесь поднимается один из "вечных" вопросов КТО ВИНОВАТ. |
Часовой пояс GMT +4, время: 01:49. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.