none
SBS 2003 a auditovanie suborov a zloziek

    Dotaz

  • Dobry den,

    potreboval by som pomoc s auditovanim suborov a zloziek na SBS2003. Skusobne som si zapol auditovanie na jednom zdielanom adresary ale v logu zabezpecenie nevidim ziany zaznam ohladom tejto zlozky. Auditovanie som spustil podla tohoto navodu http://support.microsoft.com/kb/310399. Na zaznamenavanie som povolil nasledujuce akcie: Prechadzanie zlozky, Zobrazovanie obsahu zlozky, Vytvarat subory, Vytvarat zlozky, Odstranovat vsetky pri stave uspech. Toto je nastavene na zlozke odkial sa kazde rano aktualizuju antiviry, takze by som predpokladal ze v logu by sa mala objavit minimalne hlaska o citani tohoto adresara.

    Viete ma nakopnut kde robim chybu ? Popripade ak mi vie niekto odporucit nejaky prehladny log viewer, idealne zadarmo :-)

    Za kazdu odpoved vopred dakujem.

    17. června 2010 7:49

Odpovědi

  • Auditovani se musi ZAPNOUT a NASTAVIT. To co popisujes je nastaveni. Opravdu
    jsi ho zapnul? Je to volba "Auditovat pristup k objektum" v politikach.
     
    Jeste me napada: je auditovani nastaveno i na podrizene slozky (podedilo
    se)?
     
    Zdarma je napriklad Log Parser od MS. Neni to primo logviewer, ale vystupy
    umi delat hezke. :o)
     
     
    "Imperator" píše v diskusním příspěvku
    news:2b1612e4-70ff-457b-94a7-29a803d2184f...
    Dobry den,
    potreboval by som pomoc s auditovanim suborov a zloziek na SBS2003. Skusobne
    som si zapol auditovanie na jednom zdielanom adresary ale v logu
    zabezpecenie nevidim ziany zaznam ohladom tejto zlozky. Auditovanie som
    spustil podla tohoto navodu http://support.microsoft.com/kb/310399. Na
    zaznamenavanie som povolil nasledujuce akcie: Prechadzanie zlozky,
    Zobrazovanie obsahu zlozky, Vytvarat subory, Vytvarat zlozky, Odstranovat
    vsetky pri stave uspech. Toto je nastavene na zlozke odkial sa kazde rano
    aktualizuju antiviry, takze by som predpokladal ze v logu by sa mala objavit
    minimalne hlaska o citani tohoto adresara.
    Viete ma nakopnut kde robim chybu ? Popripade ak mi vie niekto odporucit
    nejaky prehladny log viewer, idealne zadarmo :-)
    Za kazdu odpoved vopred dakujem.
     
     
    17. června 2010 8:03

Všechny reakce

  • Auditovani se musi ZAPNOUT a NASTAVIT. To co popisujes je nastaveni. Opravdu
    jsi ho zapnul? Je to volba "Auditovat pristup k objektum" v politikach.
     
    Jeste me napada: je auditovani nastaveno i na podrizene slozky (podedilo
    se)?
     
    Zdarma je napriklad Log Parser od MS. Neni to primo logviewer, ale vystupy
    umi delat hezke. :o)
     
     
    "Imperator" píše v diskusním příspěvku
    news:2b1612e4-70ff-457b-94a7-29a803d2184f...
    Dobry den,
    potreboval by som pomoc s auditovanim suborov a zloziek na SBS2003. Skusobne
    som si zapol auditovanie na jednom zdielanom adresary ale v logu
    zabezpecenie nevidim ziany zaznam ohladom tejto zlozky. Auditovanie som
    spustil podla tohoto navodu http://support.microsoft.com/kb/310399. Na
    zaznamenavanie som povolil nasledujuce akcie: Prechadzanie zlozky,
    Zobrazovanie obsahu zlozky, Vytvarat subory, Vytvarat zlozky, Odstranovat
    vsetky pri stave uspech. Toto je nastavene na zlozke odkial sa kazde rano
    aktualizuju antiviry, takze by som predpokladal ze v logu by sa mala objavit
    minimalne hlaska o citani tohoto adresara.
    Viete ma nakopnut kde robim chybu ? Popripade ak mi vie niekto odporucit
    nejaky prehladny log viewer, idealne zadarmo :-)
    Za kazdu odpoved vopred dakujem.
     
     
    17. června 2010 8:03
  • Auditovanie som zapol nasledovne, Ovladacie panely - Nastroje pre spravu - Zasady zabezpecenia domeny - Nastavenie zabezpecenia - Miestne zasady - Zasady auditu - Auditovat pristup k objektom = mam zaskrtnute definovat toto nastavenie zasad uspesne aj neuspesne pokusy.

    Nasledne som na zdielanej zlozke v zabezpeceni - auditovanie vybral skupinu uzivatelov ktorych pristupy chcem sledovat a zvolil akcie ktore chcem sledovat.

    Je treba nastavit este nieco ine ?

    Log Parser od MS pozriem, dakujem za tip.

    17. června 2010 9:43
  • ted pod auditovanym userem proved auditovanou udalost a podivej se zda pribyl zaznam v security logu

    MP

    17. června 2010 10:43
    Moderátor
  • V logu stale pribudaju nove polozky, spravidla to su EventID 576. 540, 538, ale nikde nevidim ze by bola zmienka o listovani adresara, mazani atd.

    Viete uviest nejaky priklad ako ma vyzerat zaznam o zmazani adresara alebo suboru ?

    17. června 2010 11:35
  • divas se do eventlogu NA SERVERU NA KTEREM JSOU UMISTENY AUDITOVANE OBJEKTY?

    MP

    17. června 2010 11:50
    Moderátor
  • Ano zdielana zlozka s auditovanim je na servery na ktorom aj prezeram logy.
    17. června 2010 12:09
  • Podla clanku http://support.microsoft.com/kb/174074 by sa mala pri zmazani suboru objavit v logu takato hlaska ?

    Event ID: 563
           Type: Success Audit
    Description: Object Open for Delete:
                 Object Server: %1          Object   Type: %2
                 Object Name: %3            New Handle ID: %4
                 Operation ID: {%5,%6}
                 Process ID: %7             Primary User Name: %8
                 Primary Domain: %9         Primary Logon ID: %10
                 Client User Name: %11      Client Domain: %12
                 Client Logon ID: %13       Accesses %14
                 Privileges %15

       Event ID: 564
           Type: Success Audit
    Description: Object Deleted:
                 Object Server: %1          Handle ID: %2
                 Process ID: %3

    17. června 2010 12:15
  • A objevila se?

    Zacni tim ze overis aplikaci GPo kterou nastavil's auditing (gpupdate /force a pak rsop.msc)

    MP

    17. června 2010 12:18
    Moderátor
  • Neobjavila :-)

    gpupdate /force som spustal ale nenapadlo ma skontrolovat vysledok. Podla  rsop.msc sa politika neaplikovala.

    Az ked som ju povolil v   Zasadach zabezpecenia radica domeny sa objavila ako povolena.

    uz to funguje, dakujem za spravne nakopnutie :-)

    17. června 2010 12:47