none
Аудит файлов на контроллере домена RRS feed

  • Вопрос

  • Немогу понять такую вещь, при включении аудита доступа к файлам в политиках контроллера домена начинает сыпаться огромное количество событий в журнал. Протоколируются абсолютно все обращения к файловой системе на всех дисках. Я так думал что кроме включения политики нужно настроить аудит на интересующих папках и получать данные только о них. Такая ситуация на всех контроллерах домена. на рядовых серверах работает как нужно, включаем политику настраиваем аудит конкретной папки и видим события только с этой папкой. Подскажите так и должно быть?
    20 января 2009 г. 10:04

Ответы

  •  Shkilev написано:
    Выключено все кроме Object access. да и в заголовке событий Category: Object access

     

    На самом деле не удивляйтесь, так и должно быть. Можно разве что лог-файл в размерах увеличить. Причины того, что работает именно так не могу назвать, скорее всего некий аудит включен внутри AD, и обращающееся к объектам AD приложения - фиксируются.

    20 января 2009 г. 11:35

Все ответы

  • А вы уверены, что доступ именно к дискам идёт? Плюс, на некоторых разделах реестра уже существует преднастроенный аудит. Но это относится только к системному диску. Хотелось бы получить уточнение по поводу остальных дисков.

    20 января 2009 г. 10:43
  • Добивают события подобного вида, в эксченже отключил аудит
    Handle Closed:
         Object Server:    Microsoft Exchange
         Handle ID:    403977440
         Process ID:    5664
         Image File Name:    D:\Program Files\Exchsrvr\bin\store.exe
    20 января 2009 г. 10:52
  • У вас, видимо, включен аудит Process Tracking.

    20 января 2009 г. 11:03
  • Выключено все кроме Object access. да и в заголовке событий Category: Object access
    20 января 2009 г. 11:12
  •  Shkilev написано:
    Выключено все кроме Object access. да и в заголовке событий Category: Object access

     

    На самом деле не удивляйтесь, так и должно быть. Можно разве что лог-файл в размерах увеличить. Причины того, что работает именно так не могу назвать, скорее всего некий аудит включен внутри AD, и обращающееся к объектам AD приложения - фиксируются.

    20 января 2009 г. 11:35
  • Ясно, я так и думал вобщем-то. Спасибо, суйчас хоть успокоюсь.
    20 января 2009 г. 11:42