none
Identificar evento de auditoria em fileserver RRS feed

  • Pergunta

  • Olá estou com dificuldade para identificar o que foi feito neste evento:

     

    Event Type: Success Audit
    Event Source: Security
    Event Category: Object Access 
    Event ID: 560

    Date: 7/5/2010

    Time: 3:51:58 PM

    User: VONPAR\MPEREIRA

    Computer: ASSIS_BRASIL

    Description:

    Object Open:

      Object Server: Security

      Object Type: File

      Object Name: E:\Publico\Logística Comercial\1 - Gestão da Área\7 - Gestão da Equipe\Cópia de Comparativo Despesa x HeadCount - 2009-03-11.xls

      Handle ID: 13048

      Operation ID: {0,336320686}

      Process ID: 4

      Image File Name:

      Primary User Name: ASSIS_BRASIL$

      Primary Domain: VONPAR

      Primary Logon ID: (0x0,0x3E7)

      Client User Name: MPEREIRA

      Client Domain: VONPAR

      Client Logon ID: (0x0,0x13C39615)

      Accesses: DELETE 

    SYNCHRONIZE 

    ReadAttributes 

      Privileges: -

      Restricted Sid Count: 0

      Access Mask: 0x110080


    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


    Não sei se o arquivo foi excluído ou movido.

    Grato,

    Cássio

     

    • Editado Cassio Rocha segunda-feira, 5 de julho de 2010 19:49 Alinhamento
    segunda-feira, 5 de julho de 2010 19:48

Respostas

  • Olá Cassio,

    Você primeiramente deve habilitar a auditoria com a policy "Audit Object Access". Com a auditoria habilitada, você especifica quais arquivos e pastas vão ser auditados, na guia Auditoria localizada nas opções avançadas de Segurança dos objetos.

    Abaixo um trecho do KB "Como auditar o acesso de usuários nos arquivos, pastas e impressoras no Windows XP" (http://support.microsoft.com/kb/310399)


    Auditando o acesso de usuários nos arquivos, pastas e impressoras

    O log de auditoria aparece no log de Segurança, em Visualizar eventos. Para ativar este recurso:

    • Clique em Iniciar, em Painel de controle, em Desempenho e manutenção e em Ferramentas administrativas.
    • Clique duas vezes em Diretiva de segurança local.
    • No painel esquerdo, clique duas vezes em Diretivas locais para expandir esta opção.
    • No painel esquerdo, clique em Diretiva de auditoria para exibir as configurações de diretivas individuais no painel direito.
    • Clique duas vezes em Auditoria de acesso a objetos.
    • Para auditar o acesso com êxito a arquivos, pastas e impressoras especificados, marque a caixa de seleção Sucesso.
    • Para auditar o acesso sem êxito a estes objetos, marque a caixa de seleção Falha.
    • Para habilitar a auditoria de ambos, marque as duas caixas de seleção.
    • Clique em OK.


    Especificando arquivos, pastas e impressoras a serem auditados

    Depois de habilitar a auditoria, é possível especificar os arquivos, as pastas e as impressoras a serem auditados. Para fazer isto:

    • No Windows Explorer, localize o arquivo ou a pasta que você deseja auditar. Para auditar uma impressora, localize-a clicando em Iniciar e em
    • Impressoras e Aparelhos de fax.
    • Clique com o botão direito do mouse no arquivo, na pasta ou na impressora que você deseja auditar e clique em Propriedades.
    • Clique na guia Segurança, e em Avançado.
    • Clique na guia Auditoria e em Adicionar.
    • Na caixa Digite o nome do objeto a ser selecionado, digite o nome do usuário ou do grupo cujo acesso você deseja auditar. É possível procurar nomes no computador clicando em Avançado e selecionando Localizar agora, na caixa de diálogo Selecionar usuário ou grupo.
    • Clique em OK.
    • Marque as caixas de seleção Sucesso ou Falha referentes às ações que você deseja auditar e clique em OK.
    • Clique em OK nas duas janelas.

     

    ----------------------------

    Mutirão de Respostas

    ----------------------------



    Espero ter ajudado.

    Atenciosamente,



    Caio Vilas Boas
    MCT  |  Technology Consultant

     Caio Vilas Boas
     IT Pro Group
     Linked-in
     Twitter

    segunda-feira, 13 de maio de 2013 19:10
    Moderador

Todas as Respostas

  • Olá amigo,

     

    De acordo com a linha;

    Accesses:
    DELETE


    O arquivo foi deletado.

     



    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 5 de julho de 2010 19:58
  • Olá, mas aparece três informações ? o que vale é a primeira ?

    Accesses:

    DELETE 

    SYNCHRONIZE 

    ReadAttributes 

    segunda-feira, 5 de julho de 2010 20:00
  • Então, cole um print da tela. Acho que fica mais fácil entender.

    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 5 de julho de 2010 20:14
  • segunda-feira, 5 de julho de 2010 20:24
  • Então Cassio, eu me equivoquei. De acordo com a categoria do Evento, se trata de um evento de Acesso ao Objeto bem sucedido, ou seja, vc auditou também os acessos com êxito aos arquivos.

    Informo que se isso não for realmente necessário é melhor vc cancelar essa auditoria, pois vc terá muitas entradas de log e dificultará quando vc precisar procurar alguma informação.

    Toda vez que algupem acessar um arquivo ele criará uma entrada no log. Talvez só seja interessante auditar as tentativas de acesso sem êxito, se é que vc tb irá utilizar isso.

    AdsInfo.

    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 5 de julho de 2010 21:11
  • Agora não entendi, para auditar as pastas do meu fileserver eu tenho que ativar a GPO Audit object access ! correto ou é só ativar na aba auditoria em advanced das pastas ?

     

    Valeu

    segunda-feira, 5 de julho de 2010 23:23
  • Olá Cassio,

    Você primeiramente deve habilitar a auditoria com a policy "Audit Object Access". Com a auditoria habilitada, você especifica quais arquivos e pastas vão ser auditados, na guia Auditoria localizada nas opções avançadas de Segurança dos objetos.

    Abaixo um trecho do KB "Como auditar o acesso de usuários nos arquivos, pastas e impressoras no Windows XP" (http://support.microsoft.com/kb/310399)


    Auditando o acesso de usuários nos arquivos, pastas e impressoras

    O log de auditoria aparece no log de Segurança, em Visualizar eventos. Para ativar este recurso:

    • Clique em Iniciar, em Painel de controle, em Desempenho e manutenção e em Ferramentas administrativas.
    • Clique duas vezes em Diretiva de segurança local.
    • No painel esquerdo, clique duas vezes em Diretivas locais para expandir esta opção.
    • No painel esquerdo, clique em Diretiva de auditoria para exibir as configurações de diretivas individuais no painel direito.
    • Clique duas vezes em Auditoria de acesso a objetos.
    • Para auditar o acesso com êxito a arquivos, pastas e impressoras especificados, marque a caixa de seleção Sucesso.
    • Para auditar o acesso sem êxito a estes objetos, marque a caixa de seleção Falha.
    • Para habilitar a auditoria de ambos, marque as duas caixas de seleção.
    • Clique em OK.


    Especificando arquivos, pastas e impressoras a serem auditados

    Depois de habilitar a auditoria, é possível especificar os arquivos, as pastas e as impressoras a serem auditados. Para fazer isto:

    • No Windows Explorer, localize o arquivo ou a pasta que você deseja auditar. Para auditar uma impressora, localize-a clicando em Iniciar e em
    • Impressoras e Aparelhos de fax.
    • Clique com o botão direito do mouse no arquivo, na pasta ou na impressora que você deseja auditar e clique em Propriedades.
    • Clique na guia Segurança, e em Avançado.
    • Clique na guia Auditoria e em Adicionar.
    • Na caixa Digite o nome do objeto a ser selecionado, digite o nome do usuário ou do grupo cujo acesso você deseja auditar. É possível procurar nomes no computador clicando em Avançado e selecionando Localizar agora, na caixa de diálogo Selecionar usuário ou grupo.
    • Clique em OK.
    • Marque as caixas de seleção Sucesso ou Falha referentes às ações que você deseja auditar e clique em OK.
    • Clique em OK nas duas janelas.

     

    ----------------------------

    Mutirão de Respostas

    ----------------------------



    Espero ter ajudado.

    Atenciosamente,



    Caio Vilas Boas
    MCT  |  Technology Consultant

     Caio Vilas Boas
     IT Pro Group
     Linked-in
     Twitter

    segunda-feira, 13 de maio de 2013 19:10
    Moderador