none
Мониторинг активности пользователей средствами Windows RRS feed

  • Вопрос

  • Всем привет! 

    Необходимо настроить мониторинг пользователей домена средствами Windows. 

    Например АУДИТ. 

    Кто знает что нужно включать (аудит полиси) и какие настройки производить чтобы собирать информацию: 

    - кто и когда куда заходил (рабочий ноут в домене, сервер в домене и тп.)

    - кто когда и какие файлы редактировал (сетевые шары)

    - какой софт запускал пользователь (на рабочей машине и на сервере в домене)


    Я так понимаю будут сыпаться логи, которые можно будет отслеживать в event viewer. 

    Но как и чем эти логи собирать в единое место, чтобы можно было создать репорт. 


    10 августа 2018 г. 8:51

Ответы

  • Александр, вы замучаетесь парсить и анализировать подобные логи в EventViewer. Есть более функциональные и удобные инструменты для такой задачи - https://www.microsoft.com/ru-ru/cloud-platform/operations-management-suite
    • Предложено в качестве ответа Vector BCOModerator 19 августа 2018 г. 12:07
    • Помечено в качестве ответа Vector BCOModerator 19 августа 2018 г. 12:08
    10 августа 2018 г. 8:57
  • scom, arc sight и прочие тулзы для анализа логов позволяют собирать логи и генерить отчеты.

    а так у вас вполне правильное представление об аудите:

    включаете рассширенную политику аудита, и на ресурсах (каталогах, шарах, ветках реестра) настраиваете аудит (за кем следить и какие действия трекать)

    чем больше настроите тем быстрее будет проходить ротация логов, поэтому смотреть все действия всех польз ователей на всех ресурсах плохая идея.


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Vector BCOModerator 19 августа 2018 г. 12:08
    10 августа 2018 г. 8:59
    Модератор

Все ответы

  • Александр, вы замучаетесь парсить и анализировать подобные логи в EventViewer. Есть более функциональные и удобные инструменты для такой задачи - https://www.microsoft.com/ru-ru/cloud-platform/operations-management-suite
    • Предложено в качестве ответа Vector BCOModerator 19 августа 2018 г. 12:07
    • Помечено в качестве ответа Vector BCOModerator 19 августа 2018 г. 12:08
    10 августа 2018 г. 8:57
  • scom, arc sight и прочие тулзы для анализа логов позволяют собирать логи и генерить отчеты.

    а так у вас вполне правильное представление об аудите:

    включаете рассширенную политику аудита, и на ресурсах (каталогах, шарах, ветках реестра) настраиваете аудит (за кем следить и какие действия трекать)

    чем больше настроите тем быстрее будет проходить ротация логов, поэтому смотреть все действия всех польз ователей на всех ресурсах плохая идея.


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Vector BCOModerator 19 августа 2018 г. 12:08
    10 августа 2018 г. 8:59
    Модератор
  • Если scom нету, или netwrix какого, то советую создать виртуалочку и перенаправлять на нее все нужные логи, я бы для начала посоветовал мониторить AD, вот пример аудита для него, все делается через GPO, единственное не забывайте увеличивать размер журналов, на логи безопасности.
    10 августа 2018 г. 20:20
  • Возможно Вы подскажете какие именно политики нужно включать? 
    Потому как их сам очень много. 

    11 августа 2018 г. 9:06
  • Да я видел тулы на Ажуре. 

    Но разве их можно использовать за рамками ажур клауда? 

    Например поставить на сервер под столом и собирать логи юзеров? 

    11 августа 2018 г. 9:08
  • собирать не сложно вопрос в том что дальше делать с собранным... Можете купить инструмент для анализа логов и поставить под столом (за много денег) или выгружать логи в облако и анализировать их там.

    политики аудита настраиваются в 3 местах: логально через secpol, или через политики аудита: общие или расширенные.

    Политики имеют приоритет над локальной настройкой.

    Расширенные политики аудита имеют приоритет над обычными политиками аудита.

    у каждой политики есть описание - рекомендую с ним ознакомиться, и действовать основываясь на лтгических выводах основанных на прочитанном.

    Нет единоверного ответа на общий вопрос, так как мы не знаем что конкретно вы хотите получать


    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа Anton Sashev Ivanov 17 августа 2018 г. 11:27
    11 августа 2018 г. 12:28
    Модератор