Je veux surveiller l'acces à un répertoire donné.(lecture, ecriture,
suppression)
J'ai donc :
- activer "Auditer l' acces aux objets" dans mes Stratégie d'audit.
- Ajouter un entrée d'audit dans les propriétés de mon répertoire.
Je récupére bien les actions effectués sur mon répertoire MAIS aussi des
actions lié à l'utisateur SYSTEM (evenement 562 et 560) :
562 :Handle fermé :
Serveur objet : Security
Nº du handle : 432
Nº de processus : 1624
560 :Objet Ouverture :
Objet Serveur : Security
Objet Type : Desktop
Objet Nom : \Default
Nº du nouveau handle : 432
Ces 2 evenements au lieu une quinzaine de fois par seconde ce qui sature
mon journal et m'empeche finalement de surveiller l'acces à mon répertoire.
EST IL POSSIBLE DE NE PAS GARDER LES EVEMENENTS LIES A L'UTILISATEUR SYSTEM
?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
F. Dunoyer [MVP]
THOMAS Philippe a couché sur son écran :
Je veux surveiller l'acces à un répertoire donné.(lecture, ecriture, suppression)
J'ai donc : - activer "Auditer l' acces aux objets" dans mes Stratégie d'audit. - Ajouter un entrée d'audit dans les propriétés de mon répertoire.
Je récupére bien les actions effectués sur mon répertoire MAIS aussi des actions lié à l'utisateur SYSTEM (evenement 562 et 560) : 562 :Handle fermé : Serveur objet : Security Nº du handle : 432 Nº de processus : 1624 560 :Objet Ouverture : Objet Serveur : Security Objet Type : Desktop Objet Nom : Default Nº du nouveau handle : 432
Ces 2 evenements au lieu une quinzaine de fois par seconde ce qui sature mon journal et m'empeche finalement de surveiller l'acces à mon répertoire.
EST IL POSSIBLE DE NE PAS GARDER LES EVEMENENTS LIES A L'UTILISATEUR SYSTEM ?
Dans le gestionnaire d'evenement tu peux activer des filtres Sinon tu peux toujours exporter tes evenements dans Acces ou SQL pour faire des requettes.
Une dernière piste c'est l'utilisation de l'outil LogParser de Microsoft qui permet de récuperer les évenements qui t'interessent depuis un ou plusieurs systèmes
cdt
-- François Dunoyer [MVP Windows Server / Security] Quelques trucs et des astuces pour Windows : http://fds.mvps.org/ta/ Site perso : http://www.fdunoyer.net
THOMAS Philippe a couché sur son écran :
Je veux surveiller l'acces à un répertoire donné.(lecture, ecriture,
suppression)
J'ai donc :
- activer "Auditer l' acces aux objets" dans mes Stratégie d'audit.
- Ajouter un entrée d'audit dans les propriétés de mon répertoire.
Je récupére bien les actions effectués sur mon répertoire MAIS aussi des
actions lié à l'utisateur SYSTEM (evenement 562 et 560) :
562 :Handle fermé :
Serveur objet : Security
Nº du handle : 432
Nº de processus : 1624
560 :Objet Ouverture :
Objet Serveur : Security
Objet Type : Desktop
Objet Nom : Default
Nº du nouveau handle : 432
Ces 2 evenements au lieu une quinzaine de fois par seconde ce qui sature mon
journal et m'empeche finalement de surveiller l'acces à mon répertoire.
EST IL POSSIBLE DE NE PAS GARDER LES EVEMENENTS LIES A L'UTILISATEUR SYSTEM ?
Dans le gestionnaire d'evenement tu peux activer des filtres
Sinon tu peux toujours exporter tes evenements dans Acces ou SQL pour
faire des requettes.
Une dernière piste c'est l'utilisation de l'outil LogParser de
Microsoft qui permet de récuperer les évenements qui t'interessent
depuis un ou plusieurs systèmes
cdt
--
François Dunoyer [MVP Windows Server / Security]
Quelques trucs et des astuces pour Windows : http://fds.mvps.org/ta/
Site perso : http://www.fdunoyer.net
Je veux surveiller l'acces à un répertoire donné.(lecture, ecriture, suppression)
J'ai donc : - activer "Auditer l' acces aux objets" dans mes Stratégie d'audit. - Ajouter un entrée d'audit dans les propriétés de mon répertoire.
Je récupére bien les actions effectués sur mon répertoire MAIS aussi des actions lié à l'utisateur SYSTEM (evenement 562 et 560) : 562 :Handle fermé : Serveur objet : Security Nº du handle : 432 Nº de processus : 1624 560 :Objet Ouverture : Objet Serveur : Security Objet Type : Desktop Objet Nom : Default Nº du nouveau handle : 432
Ces 2 evenements au lieu une quinzaine de fois par seconde ce qui sature mon journal et m'empeche finalement de surveiller l'acces à mon répertoire.
EST IL POSSIBLE DE NE PAS GARDER LES EVEMENENTS LIES A L'UTILISATEUR SYSTEM ?
Dans le gestionnaire d'evenement tu peux activer des filtres Sinon tu peux toujours exporter tes evenements dans Acces ou SQL pour faire des requettes.
Une dernière piste c'est l'utilisation de l'outil LogParser de Microsoft qui permet de récuperer les évenements qui t'interessent depuis un ou plusieurs systèmes
cdt
-- François Dunoyer [MVP Windows Server / Security] Quelques trucs et des astuces pour Windows : http://fds.mvps.org/ta/ Site perso : http://www.fdunoyer.net