none
File Audit RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти
    Появилась надобность провести аудит одной папки, посмотреть кто и сколько раз открывает оттуда файлы.

    Может кто ткнет в пример какой-нибудь хороший по настройке? Домен есть, папка на 2008 сервере. Аудит Success включен, вопрос какие галки поставить в ntfs-аудите


    28 февраля 2013 г. 11:42
    |

Ответы

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти
    Аудит Success включен, вопрос какие галки поставить в ntfs-аудите
    Read достаточно, считаю. Иначе утонете в потоке.
    28 февраля 2013 г. 11:55
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти

    Есть Read Attributes, Read Extended Attributes и Read Pemissions вы о каком говорите?)

    Интересуют события только на открытия файлов.

    28 февраля 2013 г. 11:59
    |
  • Question
    Нужно войти
    1
    Нужно войти

    Есть Read Attributes, Read Extended Attributes и Read Pemissions вы о каком говорите?)

    Интересуют события только на открытия файлов.

    List folder / read data, Traverse folder / execute file, атрибуты не нужны.
    28 февраля 2013 г. 12:02
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти

    Ну в логи я кучу всего получил, мне бы примерчик как распарсить это...

    Для удаленных файлов полно информации, а вот наоборот для открытия не могу найти

    28 февраля 2013 г. 12:38
    |
  • Question
    Нужно войти
    0
    Нужно войти

    После включения аудита в логи попадают события аудит которых я не включал. В GPO включен "Audit Object Access" - "Success". Включен аудит List folder/read data, Traverse folder/execute file на одну папку.

    В Евентах завалило событиями 5145 "A network share object was checked to see whether client can be granted desired access.".

    Как-то можно это отключить?


    12 марта 2013 г. 5:57
    |
  • Question
    Нужно войти
    0
    Нужно войти

    это скорее всего в advanced audit policy - object access, там есть два параметра audit file share и audit detailed file share

    12 марта 2013 г. 8:38
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Решил вопрос так:

    Отключил в GPO "Audit Object Access" - "Success".

    Включил в Advanced Audit - Object Access - Audit File System.

    12 марта 2013 г. 8:51
    |
  • Question
    Нужно войти
    0
    Нужно войти

    это скорее всего в advanced audit policy - object access, там есть два параметра audit file share и audit detailed file share

    Если я правильно понимаю, то при включении Object Access в Audit Policy - обрабатываются все значения object Access, а если нужно настроить какое-то конкретное то не включая Audit Policy нужно включить конкретный в Advanced Audit

    12 марта 2013 г. 8:53
    |
  • Question
    Нужно войти
    1
    Нужно войти
    да. и еще полезно включить Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
    12 марта 2013 г. 9:02
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    А в нем написано, что он по умолчанию Enabled.

    Но все равно спасибо :)

    12 марта 2013 г. 9:12
    |