Форум программистов, компьютерный форум, киберфорум
Наши страницы
Windows Server
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.64/14: Рейтинг темы: голосов - 14, средняя оценка - 4.64
ПростоЯ
184 / 101 / 8
Регистрация: 30.05.2009
Сообщений: 763
1

Аудит событий

11.08.2011, 19:09. Просмотров 2797. Ответов 15
Метки нет (Все метки)

Добрый день.
Подскажите, пожалуйста, как включить в Windows Server журнал аудита за изменениями в папках, если это возможно. Мне говорили, что где-то можно настроить, что бы всегда можно было посмотреть аудит, что такая папка была удалена. Просьба не советовать сторонние программы, хочется следить за этим посредством аудита безопасности.
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
11.08.2011, 19:09
Ответы с готовыми решениями:

Аудит событий на сетевом хранилище WD MyCloud
У меня установлено сетевое хранилище, к которому подключено 2 компа с Windows 7 Ultimate. Включил...

Аудит разрешений пользователя на файлы и каталоги
Коллеги, приветствую! Есть файл-сервер со структурой каталогов. Доступ к ним задает системный...

Выход, завершение сеанса пользователей терминала. Аудит
Имеется задача - мониторить Вход в сеанс,отключение и завершение сеанса, пользователей терминала....

Аудит событий безопасности
Здравствуйте уважаемые форумчане! Прошу помощи в написании скрипта. Необходимо создать механизм...

Аудит - способы контроля событий в postgres
Добрый день! Подскажите, пожалуйста, способы контроля событий в postgres (исключая триггеры,...

15
Alex2791
12 / 12 / 0
Регистрация: 15.02.2011
Сообщений: 100
11.08.2011, 19:24 2
Попробуй посмотреть здесь http://support.microsoft.com/kb/300549/ru
, но насколько я помню, если переключить режим просмотра папок на таблицу, то Ось сама показывает, когда и какая папка и файл изменялись.
0
ПростоЯ
184 / 101 / 8
Регистрация: 30.05.2009
Сообщений: 763
11.08.2011, 19:30  [ТС] 3
Так там ведется аудит если ставишь следить за папкой на которую наложен запрет доступа. То есть в журнал записываются события, когда кто-то пытался зайти в запрещенную папку. А надо что бы в принципе вел журнал удаления папок и файлов из каталогов, которые расшарены для всех.

Добавлено через 34 секунды
Цитата Сообщение от Alex2791 Посмотреть сообщение
но насколько я помню, если переключить режим просмотра папок на таблицу, то Ось сама показывает, когда и какая папка и файл изменялись.
А вот это поподробней можно? Как это сделать? По пунктам, плз.
0
Alex2791
12 / 12 / 0
Регистрация: 15.02.2011
Сообщений: 100
11.08.2011, 19:35 4
Цитата Сообщение от ПростоЯ Посмотреть сообщение
А вот это поподробней можно? Как это сделать? По пунктам, плз.
??? В проводнике заходишь менюшку вид , там список, значки...., ставишь на таблицу и Смотришь. После имени папки\файла идет Дата изменения
А если хочешь узнать, что за файло на диске(обычно это для сетевых, но можно и для локальных), и сколько оно занимает, поставь Секвойю.Она покажет, сколько пространства отжирает, тот или иной файл и что это за файл(mp3, Jpeg,........). И можно ли его ...ага...
0
11.08.2011, 19:35
ПростоЯ
184 / 101 / 8
Регистрация: 30.05.2009
Сообщений: 763
11.08.2011, 19:56  [ТС] 5
Ааааа, так мне не столь важна дата изменения, сколь информация о том, когда было что-то удалено...

Добавлено через 6 минут
Вот, к примеру тут http://support.microsoft.com/kb/814595/
сказано что можно:
Например можно ведет запись в журнал безопасности Допустимые и недопустимые при входе в систему и события, связанные с созданием, Открытие или удаление файлов и других объектов. Записи аудита в журнале безопасности содержит следующие сведения:

Действие, которое было выполнено.
Пользователя, выполнившего данное действие.
Успешное выполнение или сбой события и время, произошло событие.

А мне как раз и нужно Открытие или удаление файлов и других объектов. Но как это настроить....? ((
0
Alex2791
12 / 12 / 0
Регистрация: 15.02.2011
Сообщений: 100
11.08.2011, 20:02 6
Добавлено через 4 минуты
А сервер какой: 2003,2008?
0
ПростоЯ
184 / 101 / 8
Регистрация: 30.05.2009
Сообщений: 763
11.08.2011, 20:05  [ТС] 7
Цитата Сообщение от Alex2791 Посмотреть сообщение
А у тебя доменная сеть?
Да, доменная сеть. У человека был подключен сетевой диск с сервера, и он удалил на нем папку (так уж получилось, что у него адм.права на удаление, создание и т.д. папок/файлов на сервере). Но хочется что бы велся журнал, где можно было бы показать, что вот запись, что такой-то сотрудник сделал то-то, и что бы не было отнекиваний, что мол это не я )))Повторюсь, сторонние программы не нужны, должно как-то делаться в аудите....((

Добавлено через 15 секунд
Цитата Сообщение от Alex2791 Посмотреть сообщение
А сервер какой: 2003,2008?
2003 сервер

Добавлено через 33 секунды
Буду очень признательна за помощь.
0
Alex2791
12 / 12 / 0
Регистрация: 15.02.2011
Сообщений: 100
11.08.2011, 20:15 8
Отключить Козлу права на полный доступ к папке, оставить только просмотр. То что ЮЗверек хочет, не все ему. Админдоступ закрыть однозначно. А дальше, через групповые политики определить доступ и права на папку.(Обычно на это пишется докладная на имя руководства, что (.......) , чмо и по дурости собственной грохнул папку. А теперь какиеж ему теперь права?



А backUp налажен?
Восстановление папки?
0
ПростоЯ
184 / 101 / 8
Регистрация: 30.05.2009
Сообщений: 763
11.08.2011, 20:20  [ТС] 9
Цитата Сообщение от Alex2791 Посмотреть сообщение
А backUp налажен?
Восстановление папки?
Бекап настроен был, папку сразу и восстановили, просто хочется знать кто это сделал))
Да права обрубать у начальства нельзя)))Просто хочется иметь так сказать доказательства перед другим начальством, что это сделано таким-то человеком, что бы разбирательств не было.
0
Alex2791
12 / 12 / 0
Регистрация: 15.02.2011
Сообщений: 100
11.08.2011, 20:29 10
Цитата Сообщение от ПростоЯ Посмотреть сообщение
так уж получилось, что у него адм.права

А ты кто?

Добавлено через 5 минут
Цитата Сообщение от ПростоЯ Посмотреть сообщение
Да права обрубать у начальства нельзя
А регламент работ в вашей фирме вообще есть? Для работы работы начальства нужен админский доступ на север, скорее всего открыт доступ админа домена?

Добавлено через 1 минуту
Кто это делал?
0
ПростоЯ
184 / 101 / 8
Регистрация: 30.05.2009
Сообщений: 763
11.08.2011, 20:39  [ТС] 11
Да сейчас не важно кому обрубить права и какая политика в компании, важно настроить аудит, что бы велись логи кто и когда что-то удалил/изменил в папках.
0
Alex2791
12 / 12 / 0
Регистрация: 15.02.2011
Сообщений: 100
11.08.2011, 20:51 12
Я в личку написал.
На самом деле, аудит - не такая простая задача.
Будем думать....вместе )
0
ПростоЯ
184 / 101 / 8
Регистрация: 30.05.2009
Сообщений: 763
11.08.2011, 20:53  [ТС] 13
А как же то, что написано здесь http://support.microsoft.com/kb/814595/?
Написано же что как-то можно это сделать ((
0
Alex2791
12 / 12 / 0
Регистрация: 15.02.2011
Сообщений: 100
11.08.2011, 20:58 14
Цитата Сообщение от ПростоЯ Посмотреть сообщение
А как же то, что написано здесь http://support.microsoft.com/kb/814595/?
Написано же что как-то можно это сделать ((
Аудит - непростая штука, разобраться в ней можно. Но и папку надо восстановить? Или папка прпала совсем?
Аудит через AD?
0
ПростоЯ
184 / 101 / 8
Регистрация: 30.05.2009
Сообщений: 763
11.08.2011, 21:04  [ТС] 15
Цитата Сообщение от Alex2791 Посмотреть сообщение
Но и папку надо восстановить? Или папка прпала совсем?
папку восстановили сразу же. Цель теперь сделать аудит, что бы при подобном случае сразу всплыло кто это сделал
0
Alex2791
12 / 12 / 0
Регистрация: 15.02.2011
Сообщений: 100
11.08.2011, 21:18 16
Цитата Сообщение от ПростоЯ Посмотреть сообщение
кто это сделал
Без доп программ не обойтись, ну поставь монитор

Добавлено через 7 минут
А чтоб в дальнейшем не возникало таких проблем, надо с руководством определить порядок пользования сетевыми дисками, это не прихоть а потребность в безопасности. А далее AD права доступа и тд.
1
11.08.2011, 21:18
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
11.08.2011, 21:18

Сгенерировать 30 случайных событий с интенсивностью 10 событий в час с помощью мастера функций
Добрый день! Помогите решить.:( Задача: Сгенерировать 30 случайных событий с интенсивностью 10...

Суммой двух событий А и В называется событие С, состоящее…1) в наступлении хотя бы одного из событий А и В2
Суммой двух событий А и В называется событие С, состоящее… 1) в наступлении хотя бы одного из...

Произведением двух событий А и В называется событие С, состоящее…1) в наступлении хотя бы одного из событий
Произведением двух событий А и В называется событие С, состоящее… 1) в наступлении хотя бы одного...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.