Как стать автором
Обновить

Комментарии 7

Спасибо за статью. Но зачем так сложно, если можно включить просто аудит в необходимой папке (тем самым события будут писаться в журнал), а затем простеньким запросом в powershell вытаскивать и фильтровать необходимые события? Или данный способ дает еще какие то преимущества? Кстати вопрос к хабрасообществу: Кто и какими способами осуществляет аудит на шарах?
Здравствуйте! Пожалуйста, мы рады, если пригодится)
По поводу вашего вопроса — правильно ли мы понимаем, что вы говорите о конкретном более простом способе, который используете сами? Мы будем очень благодарны, если вы поделитесь с нами (т.е. всем хабрасообществом) кратким его описанием — какой именно запрос PS используется?

Может быть тогда народ активизируется и ответит — Какими способами осуществляют аудит на шарах) а то сейчас — тишина)
Данный запрос PS заточен под мои нужды, но я думаю, что каждый при желании может его подправить под себя. Смысл его в том, что в журнале ищет записи по названию файла и выгружает их в файл. А дальше разбор полетов кто и когда удалил или изменил.
Get-EventLog -LogName Security | where {$_.message -like '*Имя нужного файла*' } | Format-list -Property message | Out-File C:\out.txt
Ага, теперь все встало на свои места, и мы можем ответить на ваш вопрос «зачем так сложно» :)

1. Скрипт, разумеется, использовать можно, мы этого не отрицаем
2. Чтобы это заработало — все равно необходимо включать и настраивать аудит (чтобы события, которые собирает скрипт, начали появляться в журнале Security (на файловом сервере) – что мы и описываем в нашем посте.
3. Ваш скрипт, безусловно, хорошее замечание, но оно является дополнением к нашей статье :) Т.е. мы рассказали — как включить и настроить аудит, а вы — как с аудитом уже работать :)

За что вам большое спасибо)
Спасибо.
Вот только пункты 5-7 в Настройке общей политики аудита лишние, т.к. их действие отменяет настройка Audit: Force audit policy subcategory settings (Windows Vista or later) policy.
Большое спасибо за внимательность. Наш недочет.
По сути, мы имеем скорее два разных способа для настройки политик аудита (общей политики и детальных политик). Можно пользоваться либо первым, либо вторым. В случае использования второго способа — ваше замечание абсолютно корректно.
На контролируемом файловом сервере откройте оснастку Локальные политики безопасности с помощью команды secpol.msc

А что мешает использовать для этой цели доменные групповые политики, чтобы выполнить действия централизованно, а не настраивать вручную каждый сервер?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий