zubkoff.s
10-11-2009, 18:11
Привет всем.
И снова тема об аудите.
Перерыл очень много всяких форумов, но так ничего удобного и толкового не нашел.
Допустим есть ситуация: Иванов, Петров и Сидоров должны по работе иметь доступ к папке \\server\share\project
Есть подозрение, что кто-то из них сливает информацию на сторону. Как вычислить - КТО? (в частности отследить операцию копирования всей папки допустим)
Ведь стандартный аудит отслеживает очень много событий, но не копирование. Да и очень много лишних записей как по мне он ведет: создал 1 файл в отслеживаемой папке - там у меня с десяток событий с одинаковым ID, да и запись не очень удобная для понимания:
Object Open:
Object Server: Security
Object Type: File
Object Name: D:\Audit\New Презентация Microsoft PowerPoint.ppt
Handle ID: 5412
Operation ID: {0,7423490}
Process ID: 4
Image File Name:
Primary User Name: ZUBKOFF$
Primary Domain: TRITON
Primary Logon ID: (0x0,0x3E7)
Client User Name: zubkoff.s
Client Domain: TRITON
Client Logon ID: (0x0,0x2F43F)
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Privileges: -
Restricted Sid Count: 0
Access Mask: 0x12019F
А ведь нужно все-лишь Время-Файл-Путь-Операция: создание - ну или где-то так.
Очень слабо вериться, что нет какого-то стороннего софта или оптимизированного от Майкрософта.
И снова тема об аудите.
Перерыл очень много всяких форумов, но так ничего удобного и толкового не нашел.
Допустим есть ситуация: Иванов, Петров и Сидоров должны по работе иметь доступ к папке \\server\share\project
Есть подозрение, что кто-то из них сливает информацию на сторону. Как вычислить - КТО? (в частности отследить операцию копирования всей папки допустим)
Ведь стандартный аудит отслеживает очень много событий, но не копирование. Да и очень много лишних записей как по мне он ведет: создал 1 файл в отслеживаемой папке - там у меня с десяток событий с одинаковым ID, да и запись не очень удобная для понимания:
Object Open:
Object Server: Security
Object Type: File
Object Name: D:\Audit\New Презентация Microsoft PowerPoint.ppt
Handle ID: 5412
Operation ID: {0,7423490}
Process ID: 4
Image File Name:
Primary User Name: ZUBKOFF$
Primary Domain: TRITON
Primary Logon ID: (0x0,0x3E7)
Client User Name: zubkoff.s
Client Domain: TRITON
Client Logon ID: (0x0,0x2F43F)
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Privileges: -
Restricted Sid Count: 0
Access Mask: 0x12019F
А ведь нужно все-лишь Время-Файл-Путь-Операция: создание - ну или где-то так.
Очень слабо вериться, что нет какого-то стороннего софта или оптимизированного от Майкрософта.