|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 - аудит файловой системы |
|
|
2008 - аудит файловой системы
|
|
Ветеран Сообщения: 3806 |
на DC есть расшаренная папка с пользовательскими файлами, хочется видеть, кто когда какие файлы менял, удалял и т.п.
ПКМ на папке -> Свойства -> Безопасность -> Дополнительно -> Аудит добавляем Domain Users; ставим галки Успех: Содержание папки / чтение данныхто же для Domain Admins в журнале Безопасности событий не появляется включаю доменну политику Аудит доступа к объектам в Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита получаю в категории Файловая система записи "Состояние транзакции изменилось" и больше ничего включаю локальную политику Аудит файловой системы в Конфигурация Компьютера -> Конфигурация Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита системы -> Доступ к объектам получаю записи каждохо чиха - проверку файлов антивирусом, запущенным от имени системы ЧЯДНТ?! |
|
|
Отправлено: 12:44, 30-03-2011 |
Ветеран Сообщения: 611
|
Профиль | Отправить PM | Цитировать Дабы не плодить напишу здесь.
По сути у меня похожая ситуация, только с некоторыми отличиями. Рядовой сервер 2008 R2 (FSRM) входит в домен . Политика аудита включена на уровне КД. Надо отслеживать создание/удаление файлов. Настроил аудит на нужных шарах, события нужные появляются в Безопасности, но... размер данного журнала по умолчанию 16 Мб, в этот размер умещается всего лишь 1 час жизни сервера (ибо как написали выше, фиксируется каждый чих). Отсюда вопрос как запретить записывать события некоторых "Категорий задач" (Как пример "Сведения об общем файловом ресурсе") |
|
------- Отправлено: 12:49, 11-04-2012 | #2 |
|
Ветеран Сообщения: 611
|
Профиль | Отправить PM | Цитировать Отвечаю сам себе.
И так политику аудита как написал выше включили выше на КД. Повлиять на это я никак не могу, ну да и не надо особо. В общем на локальном сервере заходим в Локальную политику безопасности (secpol.msc) и переходим в "Конфигурация расширенной политики аудита" (из названия думаю понятно, что это такое) также нужно включить переопределение, что это такое и где включить написано как только вы зайдете в "Конфигурация расширенной политики аудита". Для себя в этом меню настроил только доступ к объектам/аудит файловой системы... Все теперь журнал безопасность пустой (даже не фиксируется вход выход (это можно также настроить)), кроме нужного мне аудита создания/удаления файлов (событие 4663) общих ресурсов... |
|
------- Отправлено: 15:31, 11-04-2012 | #3 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| HDD - Сбой файловой системы | kwotz | Накопители (SSD, HDD, USB Flash) | 2 | 16-09-2009 08:30 | |
| Мониторинг файловой системы | BachiStil | Microsoft Windows NT/2000/2003 | 2 | 13-02-2008 05:38 | |
| Аудит файловой системы Win 2003 | Р.Александр | Microsoft Windows NT/2000/2003 | 3 | 17-09-2007 12:59 | |
| Востановление файловой системы | Guest | Microsoft Windows 95/98/Me (архив) | 2 | 11-12-2003 13:31 | |
| Монтирование файловой системы | m0rfeusl | Общий по Linux | 9 | 03-12-2003 17:44 | |
|
|
Время: 02:42. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
