Usuário com melhor resposta
Identificar evento de auditoria em fileserver

Pergunta
-
Olá estou com dificuldade para identificar o que foi feito neste evento:
Event Type: Success Audit
Event Source: Security
Event Category: Object Access
Event ID: 560Date: 7/5/2010
Time: 3:51:58 PM
User: VONPAR\MPEREIRA
Computer: ASSIS_BRASIL
Description:
Object Open:
Object Server: Security
Object Type: File
Object Name: E:\Publico\Logística Comercial\1 - Gestão da Área\7 - Gestão da Equipe\Cópia de Comparativo Despesa x HeadCount - 2009-03-11.xls
Handle ID: 13048
Operation ID: {0,336320686}
Process ID: 4
Image File Name:
Primary User Name: ASSIS_BRASIL$
Primary Domain: VONPAR
Primary Logon ID: (0x0,0x3E7)
Client User Name: MPEREIRA
Client Domain: VONPAR
Client Logon ID: (0x0,0x13C39615)
Accesses: DELETE
SYNCHRONIZE
ReadAttributes
Privileges: -
Restricted Sid Count: 0
Access Mask: 0x110080
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Não sei se o arquivo foi excluído ou movido.
Grato,
Cássio- Editado Cassio Rocha segunda-feira, 5 de julho de 2010 19:49 Alinhamento
Respostas
-
Olá Cassio,
Você primeiramente deve habilitar a auditoria com a policy "Audit Object Access". Com a auditoria habilitada, você especifica quais arquivos e pastas vão ser auditados, na guia Auditoria localizada nas opções avançadas de Segurança dos objetos.
Abaixo um trecho do KB "Como auditar o acesso de usuários nos arquivos, pastas e impressoras no Windows XP" (http://support.microsoft.com/kb/310399)
Auditando o acesso de usuários nos arquivos, pastas e impressoras
O log de auditoria aparece no log de Segurança, em Visualizar eventos. Para ativar este recurso:- Clique em Iniciar, em Painel de controle, em Desempenho e manutenção e em Ferramentas administrativas.
- Clique duas vezes em Diretiva de segurança local.
- No painel esquerdo, clique duas vezes em Diretivas locais para expandir esta opção.
- No painel esquerdo, clique em Diretiva de auditoria para exibir as configurações de diretivas individuais no painel direito.
- Clique duas vezes em Auditoria de acesso a objetos.
- Para auditar o acesso com êxito a arquivos, pastas e impressoras especificados, marque a caixa de seleção Sucesso.
- Para auditar o acesso sem êxito a estes objetos, marque a caixa de seleção Falha.
- Para habilitar a auditoria de ambos, marque as duas caixas de seleção.
- Clique em OK.
Especificando arquivos, pastas e impressoras a serem auditados
Depois de habilitar a auditoria, é possível especificar os arquivos, as pastas e as impressoras a serem auditados. Para fazer isto:- No Windows Explorer, localize o arquivo ou a pasta que você deseja auditar. Para auditar uma impressora, localize-a clicando em Iniciar e em
- Impressoras e Aparelhos de fax.
- Clique com o botão direito do mouse no arquivo, na pasta ou na impressora que você deseja auditar e clique em Propriedades.
- Clique na guia Segurança, e em Avançado.
- Clique na guia Auditoria e em Adicionar.
- Na caixa Digite o nome do objeto a ser selecionado, digite o nome do usuário ou do grupo cujo acesso você deseja auditar. É possível procurar nomes no computador clicando em Avançado e selecionando Localizar agora, na caixa de diálogo Selecionar usuário ou grupo.
- Clique em OK.
- Marque as caixas de seleção Sucesso ou Falha referentes às ações que você deseja auditar e clique em OK.
- Clique em OK nas duas janelas.
----------------------------
----------------------------
Espero ter ajudado.
Atenciosamente,Caio Vilas Boas
MCT | Technology Consultant- Marcado como Resposta Vinicius MozartMVP, Moderator terça-feira, 14 de maio de 2013 20:14
Todas as Respostas
-
-
-
-
-
Então Cassio, eu me equivoquei. De acordo com a categoria do Evento, se trata de um evento de Acesso ao Objeto bem sucedido, ou seja, vc auditou também os acessos com êxito aos arquivos.
Informo que se isso não for realmente necessário é melhor vc cancelar essa auditoria, pois vc terá muitas entradas de log e dificultará quando vc precisar procurar alguma informação.
Toda vez que algupem acessar um arquivo ele criará uma entrada no log. Talvez só seja interessante auditar as tentativas de acesso sem êxito, se é que vc tb irá utilizar isso.
AdsInfo.
Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique! -
-
Olá Cassio,
Você primeiramente deve habilitar a auditoria com a policy "Audit Object Access". Com a auditoria habilitada, você especifica quais arquivos e pastas vão ser auditados, na guia Auditoria localizada nas opções avançadas de Segurança dos objetos.
Abaixo um trecho do KB "Como auditar o acesso de usuários nos arquivos, pastas e impressoras no Windows XP" (http://support.microsoft.com/kb/310399)
Auditando o acesso de usuários nos arquivos, pastas e impressoras
O log de auditoria aparece no log de Segurança, em Visualizar eventos. Para ativar este recurso:- Clique em Iniciar, em Painel de controle, em Desempenho e manutenção e em Ferramentas administrativas.
- Clique duas vezes em Diretiva de segurança local.
- No painel esquerdo, clique duas vezes em Diretivas locais para expandir esta opção.
- No painel esquerdo, clique em Diretiva de auditoria para exibir as configurações de diretivas individuais no painel direito.
- Clique duas vezes em Auditoria de acesso a objetos.
- Para auditar o acesso com êxito a arquivos, pastas e impressoras especificados, marque a caixa de seleção Sucesso.
- Para auditar o acesso sem êxito a estes objetos, marque a caixa de seleção Falha.
- Para habilitar a auditoria de ambos, marque as duas caixas de seleção.
- Clique em OK.
Especificando arquivos, pastas e impressoras a serem auditados
Depois de habilitar a auditoria, é possível especificar os arquivos, as pastas e as impressoras a serem auditados. Para fazer isto:- No Windows Explorer, localize o arquivo ou a pasta que você deseja auditar. Para auditar uma impressora, localize-a clicando em Iniciar e em
- Impressoras e Aparelhos de fax.
- Clique com o botão direito do mouse no arquivo, na pasta ou na impressora que você deseja auditar e clique em Propriedades.
- Clique na guia Segurança, e em Avançado.
- Clique na guia Auditoria e em Adicionar.
- Na caixa Digite o nome do objeto a ser selecionado, digite o nome do usuário ou do grupo cujo acesso você deseja auditar. É possível procurar nomes no computador clicando em Avançado e selecionando Localizar agora, na caixa de diálogo Selecionar usuário ou grupo.
- Clique em OK.
- Marque as caixas de seleção Sucesso ou Falha referentes às ações que você deseja auditar e clique em OK.
- Clique em OK nas duas janelas.
----------------------------
----------------------------
Espero ter ajudado.
Atenciosamente,Caio Vilas Boas
MCT | Technology Consultant- Marcado como Resposta Vinicius MozartMVP, Moderator terça-feira, 14 de maio de 2013 20:14