none
jak vyresit auditovani Windows Server 2003

Odpovědi

  • Mně se vytvoří v EV dva záznamy s ID 564 a 560. Ten 564 nic neřekně, ale 560 ano. Je třeba ale zapnout v GP audit na Object access. Pokud to nemáš, tak nic neuvidíš.

    Event Type:    Success Audit
    Event Source:    Security
    Event Category:    Object Access
    Event ID:    560
    Date:        6.12.2010
    Time:        13:03:32
    User:        Domain\nabelek
    Computer:    Server
    Description:
    Object Open:
         Object Server:    Security
         Object Type:    File
         Object Name:    F:\User\Nabelek\Test\pokus.txt
         Handle ID:    23188
         Operation ID:    {0,215318285}
         Process ID:    4
         Image File Name:    
         Primary User Name:    Server$
         Primary Domain:    ROPID
         Primary Logon ID:    (0x0,0x3E7)
         Client User Name:    nabelek
         Client Domain:    Domain
         Client Logon ID:    (0x0,0xCCF5BF9)
         Accesses:    DELETE
                ReadAttributes
                
         Privileges:    -
         Restricted Sid Count:    0
         Access Mask:    0x10080


    JN
    • Označen jako odpověď Tomas Cerny 6. prosince 2010 12:52
    6. prosince 2010 12:08

Všechny reakce

  • Na složce pravomyší vybrat Properties, Security, Advanced, Auditing,...

    JN
    6. prosince 2010 9:22
  • Samozrejme autitovani musi byt nejprve povoleno pres GPO

    MP

    6. prosince 2010 9:48
    Moderátor
  • ano to mám, ale kdyz jsem na tom serveru a v te auditovane slozce neco smazu tak se v logu na serveru objevi sice log. ale ze by z toho bylo poznat kdo a ktery adresar smazal tak to ani ne :-) 
    6. prosince 2010 10:14
  • A co konkretne se v tom logu objevi?
    Pozor na to, ze auditovani generuje neskutecne mnozstvi zaznamu.
    Vyhodnocovat to potom jenom pohledem do eventvieweru je skoro nemozne . . .
    Je treba ty logy "precist" necim rozumnejsim, treba Log Parserem.
     
    BB
     
     
    6. prosince 2010 10:23
  • Děkuji. V logách vidím že daný uživatel udělal aktivitu (delete) ale uz ne co presne smazal (nazev adresare)

     

    http://windows.microsoft.com/cs-CZ/windows7/Monitor-attempts-to-access-and-change-settings-on-your-computer

    • Označen jako odpověď Tomas Cerny 6. prosince 2010 11:40
    • Zrušeno označení jako odpověď Tomas Cerny 6. prosince 2010 11:40
    6. prosince 2010 11:39
  • Mně se vytvoří v EV dva záznamy s ID 564 a 560. Ten 564 nic neřekně, ale 560 ano. Je třeba ale zapnout v GP audit na Object access. Pokud to nemáš, tak nic neuvidíš.

    Event Type:    Success Audit
    Event Source:    Security
    Event Category:    Object Access
    Event ID:    560
    Date:        6.12.2010
    Time:        13:03:32
    User:        Domain\nabelek
    Computer:    Server
    Description:
    Object Open:
         Object Server:    Security
         Object Type:    File
         Object Name:    F:\User\Nabelek\Test\pokus.txt
         Handle ID:    23188
         Operation ID:    {0,215318285}
         Process ID:    4
         Image File Name:    
         Primary User Name:    Server$
         Primary Domain:    ROPID
         Primary Logon ID:    (0x0,0x3E7)
         Client User Name:    nabelek
         Client Domain:    Domain
         Client Logon ID:    (0x0,0xCCF5BF9)
         Accesses:    DELETE
                ReadAttributes
                
         Privileges:    -
         Restricted Sid Count:    0
         Access Mask:    0x10080


    JN
    • Označen jako odpověď Tomas Cerny 6. prosince 2010 12:52
    6. prosince 2010 12:08