none
Windows Server 2012 - Auditování

    Dotaz

  • Zdravím kolegové.

    Mám dotaz ohledně auditování na serveru 2012. Mám zde nastaveno auditování souborů pro sdílené adresáře z důvodu toho, že mi občas uživatel smaže soubor či přesune složku, bohužel máme víc sdílených adresářů a auditování je nastaveno podle MS návodu, takže mám log plný nepotřebných informací, potřebuji jen info že soubor byl smazán uživatelem X či že složka byla přesunuta tím a tím uživatelem. 

    Nemá prosím někdo návod na odladěné nastavení auditování přístupu k souborům?

    Díky moc.

    Honza


    Jendislav

    pondělí 1. června 2015 6:28

Odpovědi

  • Nastavoval jste vubec Audit nad souborovym systemem?

    Da se nastavit audit pro "domain users" delete (bude obsazen i v  rename operacich). A pokud chcete rename identifikovat tak pridat "write attributes" a "write extended attributes" uplne pro konkretni slozky, aby jste tam nemel prave ten balast pri auditu souboroveho systemu.

    Takze audit success nad file systemem a konkretne pro vsechny domenove nebo nejake konkretni uzivatele a pouze delete operace. Nic vic, nic min :) Pro nejake knowhow... google SACL Windows.

    čtvrtek 2. července 2015 13:12
  • 1. Mozna by to chtelo vic informaci o konfiguraci. Jinak info o auditu

    https://technet.microsoft.com/en-us/library/dn319115.aspx

    2. Logy lze filtrovat

    3. Muzete pouzit funkcionalitu event triggeru a poslat traba zpravu

    M.

    pondělí 1. června 2015 8:28
    Vlastník

Všechny reakce

  • Zdravím,

    před nějakým časem jsem řešil audit tiskových úloh na print serveru. Poznatky a zkušenosti z toho jsou, že to odladit nelze :-( bez použití skriptování. Tady jste kolego koukal? http://blogs.technet.com/b/mspfe/archive/2013/08/27/auditing-file-access-on-file-servers.aspx

    Pěkný den

    pondělí 1. června 2015 7:59
  • 1. Mozna by to chtelo vic informaci o konfiguraci. Jinak info o auditu

    https://technet.microsoft.com/en-us/library/dn319115.aspx

    2. Logy lze filtrovat

    3. Muzete pouzit funkcionalitu event triggeru a poslat traba zpravu

    M.

    pondělí 1. června 2015 8:28
    Vlastník
  • Dobry den,

    Vas clanek jsem asi videl.

    Moje politika vypada takto:

    AUDIT POLICY                                                                 VALUE<o:p></o:p>

    Account Logon: Credential Validation                                 Success and Failure<o:p></o:p>

    Account Logon: Kerberos Authentication Service               Not Configured<o:p></o:p>

    Account Logon: Kerberos Service Ticket Operations          Not Configured<o:p></o:p>

    Account Logon: Other Account Logon Events                   Not Configured<o:p></o:p>

    Account Management: Application Group Management     Not Configured<o:p></o:p>

    Account Management: Computer Account Management    Success<o:p></o:p>

    Account Management: Distribution Group Management    Not Configured<o:p></o:p>

    Account Management: Other Account Management Events           Success and Failure<o:p></o:p>

    Account Management: Security Group Management          Success and Failure<o:p></o:p>

    Account Management: User Account Management             Success and Failure<o:p></o:p>

    Detailed Tracking: DPAPI Activity                                     Not Configured<o:p></o:p>

    Detailed Tracking: Process Creation                                     Success<o:p></o:p>

    Detailed Tracking: Process Termination                               Not Configured<o:p></o:p>

    Detailed Tracking: RPC Events                                            Not Configured<o:p></o:p>

    DS Access: Detailed Directory Service Replication             Not Configured<o:p></o:p>

    DS Access: Directory Service Access                                  Not Configured<o:p></o:p>

    DS Access: Directory Service Changes                                Not Configured <o:p></o:p>

    DS Access: Directory Service Replication                           Not Configured <o:p></o:p>

    Logon-Logoff: Account Lockout                                         Not Configured<o:p></o:p>

    Logon-Logoff: IPsec Extended Mode                                 Not Configured<o:p></o:p>

    Logon-Logoff: IPsec Main Mode                                        Not Configured<o:p></o:p>

    Logon-Logoff: IPsec Quick Mode                                       Not Configured<o:p></o:p>

    Logon-Logoff: Logoff                                                         Success<o:p></o:p>

    Logon-Logoff: Logon                                                          Success and Failure<o:p></o:p>

    Logon-Logoff: Network Policy Server                                Not Configured<o:p></o:p>

    Logon-Logoff: Other Logon/Logoff Events                                   Not Configured<o:p></o:p>

    Logon-Logoff: Special Logon                                              Success<o:p></o:p>

    Object Access: Application Generated                                 Not Configured<o:p></o:p>

    Object Access: Certification Services                                   Not Configured<o:p></o:p>

    Object Access: Detailed File Share                                      Not Configured<o:p></o:p>

    Object Access: File Share                                                     Not Configured<o:p></o:p>

    Object Access: File Systém                                                  Success<o:p></o:p>

    Object Access: Filtering Platform Connection                     Not Configured<o:p></o:p>

    Object Access: Filtering Platform Packet Drop                    Not Configured<o:p></o:p>

    Object Access: Handle Manipulation                                   Success<o:p></o:p>

    Object Access: Kernel Object                                               Not Configured<o:p></o:p>

    Object Access: Other Object Access Events                        Not Configured<o:p></o:p>

    Object Access: Registry                                                        Not Configured<o:p></o:p>

    Object Access: Removable storage                                       Not Configured<o:p></o:p>

    Object Access: SAM                                                            Not Configured<o:p></o:p>

    Object Access: Central Access Policy Staging                     Not Configured<o:p></o:p>

    Policy Change: Audit Policy Change                                   Success and Failure<o:p></o:p>

    Policy Change: Authentication Policy Change                     Success<o:p></o:p>

    Policy Change: Authorization Policy Change                      Not Configured<o:p></o:p>

    Policy Change: Filtering Platform Policy Change                Not Configured<o:p></o:p>

    Policy Change: MPSSVC Rule-Level Policy Change          Not Configured<o:p></o:p>

    Policy Change: Other Policy Change Events                       Not Configured<o:p></o:p>

    Privilege Use: Non Sensitive Privilege Use                          Not Configured<o:p></o:p>

    Privilege Use: Other Privilege Use Events                           Not Configured<o:p></o:p>

    Privilege Use: Sensitive Privilege Use                                  Success and Failure<o:p></o:p>

    System: IPsec Driver                                                            Success and Failure<o:p></o:p>

    System: Other System Events                                              Not Configured<o:p></o:p>

    System: Security State Change                                             Success and Failure<o:p></o:p>

    System: Security System Extension                                     Success and Failure<o:p></o:p>

    System: System Integrity                                                      Success and Failure

    <o:p>Filtrovani logu znam, velikost logovaciho souboru mam nastaveno na 2GB.</o:p>


    Jendislav

    pondělí 1. června 2015 9:14
  • Nastavoval jste vubec Audit nad souborovym systemem?

    Da se nastavit audit pro "domain users" delete (bude obsazen i v  rename operacich). A pokud chcete rename identifikovat tak pridat "write attributes" a "write extended attributes" uplne pro konkretni slozky, aby jste tam nemel prave ten balast pri auditu souboroveho systemu.

    Takze audit success nad file systemem a konkretne pro vsechny domenove nebo nejake konkretni uzivatele a pouze delete operace. Nic vic, nic min :) Pro nejake knowhow... google SACL Windows.

    čtvrtek 2. července 2015 13:12