Аудит файлов и папок
Всем привет!
Есть задача - настроить аудит файлов и папок, чтобы было видно кто, когда, что изменил. Включая, если было изменено содержимое файла или папки. Настроил аудит по этой статье https://habr.com/ru/company/netwrix/blog/208892/ После всех изменений в журналах появляются некоторые события: 1. если поменялись права на папку или файл 2. если поменялся аудит папки или файла Если изменилось содержимое папки или файла никаких событий не появляется. Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки? Заранее спасибо! |
Цитата:
Цитата:
|
Цитата:
|
Цитата:
P.S. А для Word'а и Excel'я произведённое сохранение файла вообще означает удаление старого файла и создание на его месте одноимённого нового. |
dahiko, групповая политика привязана к OU в котором находит сервер, которой нужно мониторить?
|
Цитата:
Дополнительно проверил, что замыкания (loopback) в GPO отключен. |
Убрал аудит, еще раз все настроил. Получил нужное событие при изменении файла. В таком случае генерируется EventID 4663 с Access Mask: 0x6 и с Accesses: WriteData
Пример события. An attempt was made to access an object. Subject: Security ID: хх\administrator Account Name: administrator Account Domain: хх Logon ID: 0x3DE02 Object: Object Server: Security Object Type: File Object Name: C:\...........\New Text Document.txt Handle ID: 0x178 Resource Attributes: S:AI Process Information: Process ID: 0x113c Process Name: C:\Windows\System32\notepad.exe Access Request Information: Accesses: WriteData (or AddFile) AppendData (or AddSubdirectory or CreatePipeInstance) Access Mask: 0x6 |
Время: 05:09. |
Время: 05:09.
© OSzone.net 2001-