File activity logging
Модератор: Модераторы
Сообщений: 7
• Страница 1 из 1
wizard2k » 01 апр 2004, 13:28
Задача
на нескольких машинах (скрыто) отслеживать (протоколировать) все действия пользователей (copy, write) с файлами XLS DOC
Почему не подходит втроенный NTFS AUDIT:
1. Он не позволяет (вроде) автоматически отслеживать доступ к свежесозданным файлами а только аудит доступа к уже существующим файлам
2. floppy disk / flash drive/ mapped network devices ?
почему не подходит fileMon от sysinternals.com :
1. не скрытен.
2. его нельзя настроить на отслеживание flopyy/ flash drive
3. не ведется log а все сразу в окнопрограммы
какие решения возможны ?
в идеале это дожне быть сервис и писать в event log в спец канал а я (админ) потом все это буду смотреть
на нескольких машинах (скрыто) отслеживать (протоколировать) все действия пользователей (copy, write) с файлами XLS DOC
Почему не подходит втроенный NTFS AUDIT:
1. Он не позволяет (вроде) автоматически отслеживать доступ к свежесозданным файлами а только аудит доступа к уже существующим файлам
2. floppy disk / flash drive/ mapped network devices ?
почему не подходит fileMon от sysinternals.com :
1. не скрытен.
2. его нельзя настроить на отслеживание flopyy/ flash drive
3. не ведется log а все сразу в окнопрограммы
какие решения возможны ?
в идеале это дожне быть сервис и писать в event log в спец канал а я (админ) потом все это буду смотреть
wizard2k » 08 апр 2004, 17:34
может всетаки такое возможно ? стредствани Exporer ? MS Office ?
не уж то никто ничего сказать не может ?
не уж то никто ничего сказать не может ?
domovoy » 08 апр 2004, 17:45
wizard2k
А что мешает аудит назначить не на файл а на папку, а там отстроить и на изменение файлов в папке и на создание новых, а смотреть можно просто через EventView настроив отдельное окно с фильтрами.
А что мешает аудит назначить не на файл а на папку, а там отстроить и на изменение файлов в папке и на создание новых, а смотреть можно просто через EventView настроив отдельное окно с фильтрами.
Правильно заданный вопрос - это уже половина ответа.
wizard2k » 12 апр 2004, 09:16
Это не решает проблемы с Floppy / FlashDrive / Network Mapped / ..
хотя наверное это максимум что можно получить :-(
хотя наверное это максимум что можно получить :-(
domovoy » 12 апр 2004, 10:22
wizard2k
Ну ты же аудит назначаешь саму папку на сервере, а уж как пользователь в нее вошел и подключил , по прямому пути или подключил как диск это уже не играет роли. Доступ к наблюдаемым аудитом объектам в папке будет идти, другой ворост ты на узнаешь КУДА копировал пользователь файл к себе или на flash? но что копировал имхо увидишь.
Ну ты же аудит назначаешь саму папку на сервере, а уж как пользователь в нее вошел и подключил , по прямому пути или подключил как диск это уже не играет роли. Доступ к наблюдаемым аудитом объектам в папке будет идти, другой ворост ты на узнаешь КУДА копировал пользователь файл к себе или на flash? но что копировал имхо увидишь.
Правильно заданный вопрос - это уже половина ответа.
wizard2k » 15 апр 2004, 09:42
т.е. мне нужно на все диски в домене наложить аудит успеха доступа к файлам а потом разгребать из этого всего где, собственнно ексельные файлы и прочее
грустно это :-(
грустно это :-(
Сообщений: 7
• Страница 1 из 1
Вернуться в Политики безопасности
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1