Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - [решено] Аудит файлов и папок

Ответить
Настройки темы
2012 R2 - [решено] Аудит файлов и папок

Старожил


Сообщения: 412
Благодарности: 19

Профиль | Отправить PM | Цитировать


Всем привет!

Есть задача - настроить аудит файлов и папок, чтобы было видно кто, когда, что изменил. Включая, если было изменено содержимое файла или папки.

Настроил аудит по этой статье
https://habr.com/ru/company/netwrix/blog/208892/

После всех изменений в журналах появляются некоторые события:
1. если поменялись права на папку или файл
2. если поменялся аудит папки или файла

Если изменилось содержимое папки или файла никаких событий не появляется.

Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки?
Заранее спасибо!

Отправлено: 13:39, 01-03-2019

 

Аватара для Anton04

Ветеран


Сообщения: 2054
Благодарности: 389

Профиль | Отправить PM | Цитировать


Цитата dahiko:
Включая, если было изменено содержимое файла или папки. »
Цитата dahiko:
Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки? »
Если вы имеете в виду разницу, например одного документа, между тем что было и что стало то штатными средствами никак, только если переносить все документы в БД и уже средствами БД рулить. Аудит системы покажет Вам только то что было обращение к объекту и кто делал обращение.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.

Это сообщение посчитали полезным следующие участники:

Отправлено: 11:40, 02-03-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Старожил


Сообщения: 412
Благодарности: 19

Профиль | Отправить PM | Цитировать


Цитата Anton04:
Цитата dahiko:
Включая, если было изменено содержимое файла или папки. »
Цитата dahiko:
Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки? »
Если вы имеете в виду разницу, например одного документа, между тем что было и что стало то штатными средствами никак, только если переносить все документы в БД и уже средствами БД рулить. Аудит системы покажет Вам только то что было обращение к объекту и кто делал обращение.
Нет. Не надо сравнивать содержимое файла. Достаточно, чтобы в логах появилось событие, что файл был изменён

Отправлено: 21:00, 03-03-2019 | #3


Ветеран


Сообщения: 27449
Благодарности: 8086

Профиль | Отправить PM | Цитировать


Цитата dahiko:
что файл был изменён »
Не факт, что он был изменён.

P.S. А для Word'а и Excel'я произведённое сохранение файла вообще означает удаление старого файла и создание на его месте одноимённого нового.

Отправлено: 22:35, 03-03-2019 | #4


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


dahiko, групповая политика привязана к OU в котором находит сервер, которой нужно мониторить?

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 09:39, 04-03-2019 | #5


Старожил


Сообщения: 412
Благодарности: 19

Профиль | Отправить PM | Цитировать


Цитата paranoya:
xcel'я произведённое сохранение файла вообще означает удаление старого файла и создание на его месте одноимённого нового. »
Да, конечно. Проверил еще раз.

Дополнительно проверил, что замыкания (loopback) в GPO отключен.

Отправлено: 10:30, 20-12-2019 | #6


Старожил


Сообщения: 412
Благодарности: 19

Профиль | Отправить PM | Цитировать


Убрал аудит, еще раз все настроил. Получил нужное событие при изменении файла. В таком случае генерируется EventID 4663 с Access Mask: 0x6 и с Accesses: WriteData


Пример события.

An attempt was made to access an object.


Subject:
Security ID: хх\administrator
Account Name: administrator
Account Domain: хх
Logon ID: 0x3DE02

Object:
Object Server: Security
Object Type: File
Object Name: C:\...........\New Text Document.txt
Handle ID: 0x178
Resource Attributes: S:AI


Process Information:
Process ID: 0x113c
Process Name: C:\Windows\System32\notepad.exe

Access Request Information:
Accesses: WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
Access Mask: 0x6

Отправлено: 12:36, 20-12-2019 | #7



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - [решено] Аудит файлов и папок

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
VBS/WSH/JS - Скрипт для забора файлов и папок (с сохр. структуры) из неск. сетевых папок в одну л. DjBoBo Скриптовые языки администрирования Windows 0 19-07-2016 16:30
Доступ - Аудит чтения\записи файлов в общем доступе Charg Microsoft Windows 7 13 04-03-2016 11:07
2008 R2 - аудит копирвоания файлов с сервера Raydorm Windows Server 2008/2008 R2 1 14-12-2015 11:59
2008 R2 - Аудит на AD (удаление папок) paull2006 Windows Server 2008/2008 R2 0 22-10-2015 11:17
Интерфейс - [решено] Пропали эскизы папок (не файлов а, именно папок) demidovvas Microsoft Windows 7 5 08-03-2014 18:27




 
Переход