none
Мониторинг рабочей станции RRS feed

  • Вопрос

  • Приветствую всех!

    Суть ситуации - шефу необходимо промониторить цитирую "все" ))) на одной из рабочих станций...

    Если быть более верным и пояснить его желание корректным языком - ему необходимо отслеживать движения по файловой системе + безопасноть....

    Вопрос к коллегам - кто чем стал бы реализовывать?

    Аудит доступа к обьектам? Квота? Что посоветуете?

     

    Всем спасибо заранее за ответ.....

    28 июня 2008 г. 17:41

Ответы

  • Имхо в данном случае лучше не логировать действия, а использовать специальное ПО, позволяющее записывать все действия пользователя: запись отображения на мониторе в течение рабочего дня , скриншоты через определённые промежутки времени и т.п. Вобщем что-нибудь вроде этого

     

    29 июня 2008 г. 12:04

Все ответы

  • Посоветую выяснить, что значит "все". Потому что когда пытаешься совсем ВСЕ, то больше ни на что времени не хватит. Да и на это не хватит. Нужно будет создать отдел "по мониторингу всего на конкретной станции пользователя".

    Если интересует борьба с утечками, то можно попробовать поискать специальный софт. Он есть, я точно знаю. Насколько он действенен - не скажу.
    29 июня 2008 г. 11:27
    Модератор
  • Имхо в данном случае лучше не логировать действия, а использовать специальное ПО, позволяющее записывать все действия пользователя: запись отображения на мониторе в течение рабочего дня , скриншоты через определённые промежутки времени и т.п. Вобщем что-нибудь вроде этого

     

    29 июня 2008 г. 12:04
  • Ребят, случай единичный и покупка ПО - не то решение, честно, как с аудитом - выйдет - нет?

    У кого какие аргументы...  Можно квотированием проследить так полагаю (не пробовал))))

    Цель одна - контролить утечку (человек уходить собрался и может утянуть прилично по желанию конечно)

    Спасибо.......

    29 июня 2008 г. 15:43
  •  покупка ПО - не то решение

     

    ПО, указанное по ссылке выше, бесплатное.

    Из платного есть вот это, стоимость ($10) смешная по сравнению с потенциальным ущербом.

    Аудитом же имхо данную задачу (чтобы "вообще всё") не решить

    30 июня 2008 г. 5:38
  • Это называется спохватились 

     

    Если речь о человеке, то не допускайте его до информации. Если о компьютере, то сделайте копию винта.

     

    30 июня 2008 г. 5:42
    Модератор
  • По поводу аудита: такую задачу аудит точно не решит. Чтобы понять, почему - попробуйте включить аудит на всех файлах и посмотреть через сутки что там накопилось. Только не забудьте увеличить размеры журнала безопасности до хотя бы 100М. Хотя этого мало будет.

     

    30 июня 2008 г. 8:13
    Модератор
  • 30 июня 2008 г. 8:32
    Модератор
  • Спасибо за ответы всем,

    - копия винта сделана недавно

    - про ПО - огромное спасибо за линки - думаю вариант в таком случае верный конечно))

    - насчет аудита и парсинга такового - как минимум насколько мне известно можно юзать LоgParser это так, к слову, а вообще, например, на машинке где стоит MSSQL наблюдал толи парсинг самим SQL из events толи копию он создает, но в итоге у него здоровый адекватный парсер точно есть - причем с доступными средствами характерными для самого SQL - это к вопросу изврата))

    - размеры логов у меня контролятся GPO и в умолчании равны 160 Мб, с ротацией по необходимости....

    На текущее все понятно - спасибо за реакцию, всем удачного дня.

     

    PS: пример парсинга средствами LogParser 2.2, выборка отдает отброшенные логины, причину, время

    Parsing begin:
    logparser "SELECT TimeGenerated, EXTRACT_TOKEN(Strings,0,'|') AS UserName, EXTRACT_TOKEN(Strings,9,'|') AS IPAddress, EXTRACT_TOKEN(Strings,6,'|') AS FailureCode, REPLACE_IF_NULL(EXTRACT_VALUE('0x6=Bad username!0xC=Logon workstation restriction!0x12=Account disabled, expired or locked out or logon time restriction!0x17=Password expired!0x18=Bad password!0x20=Ticket expired!0x25=Clock skew',FailureCode,'!'),'Please see error codes in Kerberos RFC') AS FailureDesc FROM Security WHERE (EventID=672) AND EventType=16"

     

     

    30 июня 2008 г. 8:46
  •  

     MSD [mdanshin] написано:

    На всякий случай http://mdanshin.blogspot.com/2008/06/1-ntfs.html

     

     

    Знаком на самом деле, только посмотрел линк - толковая статья, спасибо......

    30 июня 2008 г. 9:26