none
File Audit RRS feed

  • Вопрос

  • Появилась надобность провести аудит одной папки, посмотреть кто и сколько раз открывает оттуда файлы.

    Может кто ткнет в пример какой-нибудь хороший по настройке? Домен есть, папка на 2008 сервере. Аудит Success включен, вопрос какие галки поставить в ntfs-аудите


    28 февраля 2013 г. 11:42

Ответы

Все ответы

  • Аудит Success включен, вопрос какие галки поставить в ntfs-аудите
    Read достаточно, считаю. Иначе утонете в потоке.
    28 февраля 2013 г. 11:55
    Отвечающий
  • Есть Read Attributes, Read Extended Attributes и Read Pemissions вы о каком говорите?)

    Интересуют события только на открытия файлов.

    28 февраля 2013 г. 11:59
  • Есть Read Attributes, Read Extended Attributes и Read Pemissions вы о каком говорите?)

    Интересуют события только на открытия файлов.

    List folder / read data, Traverse folder / execute file, атрибуты не нужны.
    28 февраля 2013 г. 12:02
    Отвечающий
  • Ну в логи я кучу всего получил, мне бы примерчик как распарсить это...

    Для удаленных файлов полно информации, а вот наоборот для открытия не могу найти

    28 февраля 2013 г. 12:38
  • После включения аудита в логи попадают события аудит которых я не включал. В GPO включен "Audit Object Access" - "Success". Включен аудит List folder/read data, Traverse folder/execute file на одну папку.

    В Евентах завалило событиями 5145 "A network share object was checked to see whether client can be granted desired access.".

    Как-то можно это отключить?


    12 марта 2013 г. 5:57
  • это скорее всего в advanced audit policy - object access, там есть два параметра audit file share и audit detailed file share

    12 марта 2013 г. 8:38
    Модератор
  • Решил вопрос так:

    Отключил в GPO "Audit Object Access" - "Success".

    Включил в Advanced Audit - Object Access - Audit File System.

    12 марта 2013 г. 8:51
  • это скорее всего в advanced audit policy - object access, там есть два параметра audit file share и audit detailed file share

    Если я правильно понимаю, то при включении Object Access в Audit Policy - обрабатываются все значения object Access, а если нужно настроить какое-то конкретное то не включая Audit Policy нужно включить конкретный в Advanced Audit

    12 марта 2013 г. 8:53
  • да. и еще полезно включить Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
    12 марта 2013 г. 9:02
    Модератор
  • А в нем написано, что он по умолчанию Enabled.

    Но все равно спасибо :)

    12 марта 2013 г. 9:12