Комментарии 7
Спасибо за статью. Но зачем так сложно, если можно включить просто аудит в необходимой папке (тем самым события будут писаться в журнал), а затем простеньким запросом в powershell вытаскивать и фильтровать необходимые события? Или данный способ дает еще какие то преимущества? Кстати вопрос к хабрасообществу: Кто и какими способами осуществляет аудит на шарах?
Здравствуйте! Пожалуйста, мы рады, если пригодится)
По поводу вашего вопроса — правильно ли мы понимаем, что вы говорите о конкретном более простом способе, который используете сами? Мы будем очень благодарны, если вы поделитесь с нами (т.е. всем хабрасообществом) кратким его описанием — какой именно запрос PS используется?
Может быть тогда народ активизируется и ответит — Какими способами осуществляют аудит на шарах) а то сейчас — тишина)
По поводу вашего вопроса — правильно ли мы понимаем, что вы говорите о конкретном более простом способе, который используете сами? Мы будем очень благодарны, если вы поделитесь с нами (т.е. всем хабрасообществом) кратким его описанием — какой именно запрос PS используется?
Может быть тогда народ активизируется и ответит — Какими способами осуществляют аудит на шарах) а то сейчас — тишина)
Данный запрос PS заточен под мои нужды, но я думаю, что каждый при желании может его подправить под себя. Смысл его в том, что в журнале ищет записи по названию файла и выгружает их в файл. А дальше разбор полетов кто и когда удалил или изменил.
Get-EventLog -LogName Security | where {$_.message -like '*Имя нужного файла*' } | Format-list -Property message | Out-File C:\out.txt
Get-EventLog -LogName Security | where {$_.message -like '*Имя нужного файла*' } | Format-list -Property message | Out-File C:\out.txt
Ага, теперь все встало на свои места, и мы можем ответить на ваш вопрос «зачем так сложно» :)
1. Скрипт, разумеется, использовать можно, мы этого не отрицаем
2. Чтобы это заработало — все равно необходимо включать и настраивать аудит (чтобы события, которые собирает скрипт, начали появляться в журнале Security (на файловом сервере) – что мы и описываем в нашем посте.
3. Ваш скрипт, безусловно, хорошее замечание, но оно является дополнением к нашей статье :) Т.е. мы рассказали — как включить и настроить аудит, а вы — как с аудитом уже работать :)
За что вам большое спасибо)
1. Скрипт, разумеется, использовать можно, мы этого не отрицаем
2. Чтобы это заработало — все равно необходимо включать и настраивать аудит (чтобы события, которые собирает скрипт, начали появляться в журнале Security (на файловом сервере) – что мы и описываем в нашем посте.
3. Ваш скрипт, безусловно, хорошее замечание, но оно является дополнением к нашей статье :) Т.е. мы рассказали — как включить и настроить аудит, а вы — как с аудитом уже работать :)
За что вам большое спасибо)
Спасибо.
Вот только пункты 5-7 в Настройке общей политики аудита лишние, т.к. их действие отменяет настройка Audit: Force audit policy subcategory settings (Windows Vista or later) policy.
Вот только пункты 5-7 в Настройке общей политики аудита лишние, т.к. их действие отменяет настройка Audit: Force audit policy subcategory settings (Windows Vista or later) policy.
На контролируемом файловом сервере откройте оснастку Локальные политики безопасности с помощью команды secpol.msc
А что мешает использовать для этой цели доменные групповые политики, чтобы выполнить действия централизованно, а не настраивать вручную каждый сервер?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настройка аудита файловых серверов: подробная инструкция и шпаргалка (.pdf)