На сетевых шарах рано или поздно возникает вопрос кто удалил файл, когда он был изменен и кем. Иногда можно отмазаться сказать сами виноваты, иногда кто то может сам признаться а иногда надо показать кто когда да и ещё лезть в старые архивы вытаскивать файл живим и здоровым. А для этого надо знать что и когда. Естественно воспользуемся аудитом встроенном в Windows. Ниже расскажу как и поделюсь своей программкой которая увеличивает период хранения.
По умолчанию аудит доступ файлам в Windows выключен. Естественно включаем его.
Для этого в групповых политиках
Конфигурация компьютера-Конфигурация Windows-Параметры Безопасности-Локальная Политика-Политика Аудита-Аудит доступа к объектам (успех,отказ)
Затем в свойствах безопасности конкретной папки настраиваем аудит, дабы не собирать не нужную информацию лучше ручками выставить интересующие параметры
Всё после этого в журнале Безопасности будут собираться логи аудита. Но т.к. записей может генерироваться большое количество то журнал будет переполнятся очень быстро, у меня после старта аудита его хватало на 5 минут. Соответственно заходим в свойство журнала и увеличиваем размер. у меня стоит 2 Гб этого хватает на +- месяц данных. Но это желание начальства.
Но просматривать такой журнал тяжко. И искать нужную инфу неудобно и что делать если нужны данные более старого периода. Тут я поработал программистам и мелкую программу.
Увеличиваем срок хранения логов
Программа проверяет журнал безопасности на локальной машине. И записывает все инциденты аудита доступа к файлам(удаление, изменение, и т.д .) созданные за последний час.
Файл создается ежедневно в формате год-месяц-день.csv в случаи если не получится получить доступ к файлу будет создан файл год-месяц-день-час.csv
Также программа 7 числа каждого месяца производит сборку файлов за месяц в единый файл год-месяц.csv
Соответственно ставим данную программу в планировщик с интервалом запуска раз в час и храним историю хоть всю жизнь. Един стенное не забываем ей поставить повышенные привилегии в планировщике.
Файл создается ежедневно в формате год-месяц-день.csv в случаи если не получится получить доступ к файлу будет создан файл год-месяц-день-час.csv
Также программа 7 числа каждого месяца производит сборку файлов за месяц в единый файл год-месяц.csv
Соответственно ставим данную программу в планировщик с интервалом запуска раз в час и храним историю хоть всю жизнь. Един стенное не забываем ей поставить повышенные привилегии в планировщике.
споткнулся на выборе пользователей при добавлении объектов аудита.
ОтветитьУдалитьЕсть возможность, как-то указать одним разом всех или надо перечислять?
А так было бы интересно
Если имеется введу во вкладке безопасность? То просто вбей Все( именно с большой буквы).
Удалитьне сразу дошло :) идем дальше
Удалить