Здраствуйте.
Есть Windows 2003, керио, рабочая группа и расшареная папка - локальная домашняя сеть. Чем или как можно посмотреть движение в этой расшареной папке. Кто что создал или удалил. Просто там постоянно появляются вирусы, антивирусник успевает удалять, и хочется узнать, с какой машины это все лезет. Программы типо Kill Wacher не помогает, в аудите такого не нашел (может плохо искал, не спорю). Поставил запись всего, но в логах ничего не нашел о записи/удалении файла - только коннект. Вообще стоит FTP сервер, но люди по привычке лезут по старинке, и шару пришлось оставить. Подскажите, кто что пожет )

антивирусник успевает удалять »антивирусник на сервере?.. а разве он не ведет логи?... мы по ним и вычисляем

Так он же показывает где удалил, тоесть в этой папке, а не откуда он взялся. Да, стоит NOD 2.7, третий не могу, так как конфликты с керио идут. (

хadorkin, как настраивали аудит? Если вы изначально не настраивали аудит на папке, то в евентах Вы ничего не увидите. Нужно на папке ПКМ\Безопасность\Дополнительно\Аудит добавить группу(думаю, аутентифицированных пользователй хватит) и выбрать Создание файлов и создание Папок. Также можно на удаление поставить(но думаю, в Вашем случае это не надо иначе действия антивируса будут фиксироваться).

Спсибо за ответ. Да, не до конца настраивал аудит, не настраивал на папке. (если можно, параллельный вопрос - при открытии аудита на доступ к обьектам, постоянно появляються записи системных файлов - их действия. Как их скрыть? ) Попробывал, но, к сожалению, не помогло. Видно, когда и какой юзер лазил, но открыт гостевой доступ, и все залазят по гостем. Тут нужен IP адрес. Вопрос остаёться открытым.

Как их скрыть? »
попробовать настроить фильтр так, чтобы он не показывал Вам события с этим кодом.
Видно, когда и какой юзер лазил, но открыт гостевой доступ, и все залазят по гостем. Тут нужен IP адрес. Вопрос остаёться открытым. »
Закрыть гостя. Гостя вообще надо было сразу закрыть. Хождение под своими учетками правильнее. Так легче вести аудит и разграничивать права. Что опять же поможет все сделать правильно и организовано.

1.Я понимаю, что настроить нада. так где? ))
2. Сеть из порядка 100 или более (кто знает) компов. На каждого создать учетку? Тем более что все привыкли лазить на открыому без паролей.. Вроде бы не слишком сложный вопрос - IP адрес пользователя, наследившего немного после себя.. а ту вот как оказываеться сложно.. ((

1.Я понимаю, что настроить нада. так где? )) »
в фильтре в Event Viewer'e. Смотрите какой код имеет нужный вам эвент и делаете просмотр по нему. Остальное(не нужное) отсеиваете.2. Сеть из порядка 100 или более (кто знает) компов. На каждого создать учетку? Тем более что все привыкли лазить на открыому без паролей.. »
И Вы все еще в рабочей группе??? Ппц... Ну если нет планов по переводу в домен, то я решения, увы, пока не знаю... Подождем что посоветуют другие..

Да, стоит NOD 2.7, третий не могу, так как конфликты с керио идут. ( »

В 3 версии в Настройках есть Защита доступа в Интернет - Веб-браузеры. В списке на Керио ставишь крестик и нод не будет блокировать Интернет. Если хочешь чтобы трафик проверялся, ствишь плагин на Керио.
У меня на работе третий NOD с керио дружат :-)

Ну вот хоть не на этот. так на другой вопрос нашел ответ. Спасибо ZORBI, заработало как нада. )) А вирусы ж все равно лезут (

хadorkin, если ты имешь ввиду файловые вирусы, то при обрещении к ним, он будет блокировать. А чтобы проверять сетевой трафик, то поищи в инете Plagin NOD32 для Kerio