imho.ws |
|
04.01.2004, 06:55 | # 1 |
Member
Регистрация: 05.12.2003
Адрес: Краснодар
Пол: Male
Сообщения: 337
|
Аудит & мониторинг доступа к файлам: вопросы и ответы.
Есть подключение по локалке, требуется прога, которая может вести лог подключений к моему компу, кто и когда захадил на мой комп и что качал. Или подскажите, как можно это оргагизовать стандартными виндовскими(winXP) методами, если таковые есть.
|
30.08.2005, 11:37 | # 22 |
Advanced Member
Регистрация: 21.06.2004
Сообщения: 403
|
Подскажите софт позволяющий вести аудит доступа к сет.файлам
Есть корпоративная сеть из 300 машин и 5 файловых серверов (4 Windows 2003 + 1 Novell Netware 6)
На машине подключены сетевые диски (net use) с разных серверов (Windows) и Netware (map, т.е. установлен Netware клиент). Рабочие станции: W2000 и WinXP Необходимо предоставлять еженедельный отчет по 5 пользователям из 300, какие сетевые файлы они открывали на чтение (пока интересует только открытие файлов, т.к. большинство ресурсов только на чтение). Настраивать родной аудит Windows на всех серверах, не вижу смысла. Короче попытка воспользоваться стандартными средствами аудита Windows не увенчалась успехом, невозможно произвести нормальный анализ лога. Стандартными средствами при том количестве событий, которые он генерит НЕРЕАЛЬНО, вообще что либо понять. Попытка воспользоваться GFI LANguard Security Event Log Monitor (S.E.L.M.) 5 тоже не увенчалась успехом, во-первых русские имена папок/файлов через одну корректно выводит. Во-вторых, хочет просто получить, что ПетровАА открывал файл: "Документы\Работа.xls" такого-то числа и все, минимум информации, максимум полезности. Программка EIQ SyslogAnalyzer тоже не понравилась. Такое впечатление, что на основе встроенного аудита Windows трудно получить элементарное? Может есть какие-нибудь программки, которые просто следят за обращениями к файлам из определенной папки и пишут это в лог. И ВСЕ??? Хотел еще пойти от рабочей станции, т.е. повесить какой-нибудь шпион, который будет следить за открытием сетевых файлов. Испробовал: StatWin7, SpyAgent, iOpus Starr PC Ниодна из них не умеет следить за открытием сетевых файлов. Т.е. когда пользователь открывает сетевой файл. Почему не следить за всеми открытыми файлами? Если у кого есть идеи, как произвести вроде бы элементарный аудит с получением отчета, прошу высказать свое мнение, может на какую-нибудь мысль натолкнете!!! P.S. Про Novell я пока молчу, т.к. там тоже дела не лучше, но первоочередная задача для Windows, но если у кого по Netware есть предложения с учетом изложенного выше, буду рад послушать. |
30.08.2005, 17:12 | # 23 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418
|
Склеиваю все темы по аудиту доступа к файлам.
http://www.imho.ws/showthread.php?t=47655
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий Последний раз редактировалось Borland; 30.08.2005 в 17:17. |
16.09.2005, 09:12 | # 24 |
::VIP::
Отыпный Саводод Регистрация: 27.10.2002
Адрес: Краснодар, Россия
Пол: Male
Сообщения: 452
|
Возможно это не совсем аудит ...
Вопрос: Чем можно ограничить запись файлов по маске? Ситуация: Есть файл сервер. На нем шара. В шаре файлы (формы), которые открывает каждый на своем компе. Проблема: Программа скидывает в шару(!) дампы в случае, если форма застрелилась. В дампах есть конфидециальная информация. Нужно запретить запись дампов в шару. Имя файла дампа соответствует определенной маске ЗЫ: я так понял, что стандартными средствами винды это сделать нельзя. Возможно есть какой-то софт.
__________________
The Information will be FREE! |
16.09.2005, 12:49 | # 25 |
Full Member
Регистрация: 03.11.2002
Адрес: Украина ! Киев!
Пол: Male
Сообщения: 2 037
|
SwiMMeR
а что если на клиенских машина установить галочку на этой папке автономная папка и все файлы будут на рабочих компах а на сервере подом будет происходить синхронизация
__________________
Ну у вас и запросы! - сказала база данных и повисла |
16.09.2005, 13:14 | # 27 |
Full Member
Регистрация: 03.11.2002
Адрес: Украина ! Киев!
Пол: Male
Сообщения: 2 037
|
SwiMMeR ну так можно батник создать и повесить nncron на сервак что будет проверять через н времени и убивать веременное файло
__________________
Ну у вас и запросы! - сказала база данных и повисла |
16.09.2005, 13:30 | # 28 |
::VIP::
Отыпный Саводод Регистрация: 27.10.2002
Адрес: Краснодар, Россия
Пол: Male
Сообщения: 452
|
oia
Пока это рассматривается как запасной вариант. Если не сможем ограничить запись этих фалов, то будем удалять через Н секунд. Но мне кажется должна быть возможность ограничивать запись таких файлов.
__________________
The Information will be FREE! |
19.09.2005, 10:27 | # 31 | |
::VIP::
Отыпный Саводод Регистрация: 27.10.2002
Адрес: Краснодар, Россия
Пол: Male
Сообщения: 452
|
oia
так нельзя, потому что юзер формирует в эту папку большой темповый файл при печати больших документов на принтер someone312002 Цитата:
__________________
The Information will be FREE! |
|
18.10.2005, 10:00 | # 33 |
Отшельник
Регистрация: 14.01.2005
Адрес: 1637м. Байкал
Пол: Male
Сообщения: 630
|
Не совсем понятно за чем тебе надо следить, так что держи список, а не конкретную прогу:
Active Ports мониторинг открытых портов FileMon мониторинг обращения к файлам KillWatcher монитор активных сетевых соединений. Позволяет видеть кто и что у Вас качает на данный момент и в прошлом. Можно прервать любую сессию. Ведет лог соединений. |
18.10.2005, 11:20 | # 35 |
Отшельник
Регистрация: 14.01.2005
Адрес: 1637м. Байкал
Пол: Male
Сообщения: 630
|
Тогда KillWatcher тебе подойдет. Еще советую глянуть сюда:
_http://mycomputer.ua/text/3633;jsessionid=26B77D53366765DB2CF36A4BE2F23970 Здесь описываются различные программы для защиты и мониторинга информации. Последний раз редактировалось keeper_c; 18.10.2005 в 11:29. |
18.10.2005, 15:04 | # 36 |
Migel Mod Volos
Регистрация: 09.09.2003
Адрес: МПЛ-в почетной д
Сообщения: 7 486
|
Объеденяю с "Аудит доступа к файлам".
anatolik1, будь внимательнее.
__________________
Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. |
01.06.2006, 16:56 | # 37 | |
Guest
Сообщения: n/a
|
Цитата:
Делаешь папку автономной. Свою прогу запускаешь через батник. В котором первым действием будет запустить прогу. А вторым удалить (или перенести в нужное место) временные файлы по маске. Тогда при синхронизации они не попадут на сервак. |
|
12.09.2006, 14:57 | # 38 | |
Newbie
Регистрация: 05.07.2006
Сообщения: 40
|
Цитата:
Actual Spy http://www.imho.ws/showthread.php?t=98113&highlight=Actual+Spy |
|
28.11.2007, 10:35 | # 39 |
Access Forbidden
Регистрация: 14.12.2001
Адрес: Access Forbidden
Пол: Male
Сообщения: 1 277
|
Пардон если поздно, но на серваке без базара нужно держать shadow copy, тогда проблемм с востановлением не будет. А аудиты к доступу файлов - это что же за логи будут?
__________________
Траблы с компьютером? Убедитесь что у вас инсталированы все последние апдейты и драйвера. Они выпускаются не для развлечения. |
28.11.2007, 17:46 | # 40 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418
|
Не такие уж и страшные. И никто ведь не запрещает сливать эти логи хоть раз в полчаса в текстовый (как вариант - Excel) файл на предмет дальнейшего хранения и анализа с применением средств автоматизации (тот же Excel)...
Места такие логи всяко меньше потребуют, нежели ShadowCopy... А к восстановлению удалённого данная тема не относится, здесь поднимается один из "вечных" вопросов КТО ВИНОВАТ.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |