centralisation des journaux d'évennements et audit
Le
David
Bonjour,
Je possède une unité de production composée de 3 serveurs sous
Windows 2003 Std.
J'ai de gros problèmes de déplacements ou suppressions volontaires
de dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
scrupuleux.
J'ai activé les audits, mais la lecture des journaux est très
compliquée étant donné le nombre d'utilisateurs et le nombre d'accès
journaliers.
Je ne sais pas du tout comment je pourrais optimiser la lecture et
la recherche d'évennements. L'idéal et je ne sais pas si ça existe,
serait de pouvoir extraire en base de données, les informations des
différents journaux d'évennements.
Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?
Existe t-il une application pouvant centraliser mes journaux?
Quelqu'un a t-il déjà été confronté à ce genre de problème, et
comment a t-il pu le résoudre?
Merci!
David.
Je possède une unité de production composée de 3 serveurs sous
Windows 2003 Std.
J'ai de gros problèmes de déplacements ou suppressions volontaires
de dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
scrupuleux.
J'ai activé les audits, mais la lecture des journaux est très
compliquée étant donné le nombre d'utilisateurs et le nombre d'accès
journaliers.
Je ne sais pas du tout comment je pourrais optimiser la lecture et
la recherche d'évennements. L'idéal et je ne sais pas si ça existe,
serait de pouvoir extraire en base de données, les informations des
différents journaux d'évennements.
Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?
Existe t-il une application pouvant centraliser mes journaux?
Quelqu'un a t-il déjà été confronté à ce genre de problème, et
comment a t-il pu le résoudre?
Merci!
David.
Poser une question
Microsoft Operation Manager est le logiciel qui peut répondre à cette
problématique.
Autrement, si vous connaissez le vbscript, vous pourriez développer un
script qui analyserait les journaux pour vous (attendu que la suppression
des fichiers correspond à un ID spécifique).
Thierry Frache
"David" news:46a8d46b$0$10026$
MOM ou maintenant SCOM et System center essential sont des bons
produits, mais c'est peut etre une solution un peu chere ...
Il y a logparser 2.2 qui est gratuit et se telecharge à l'adresse
suivante
http://www.microsoft.com/downloads/...x?FamilyID0cd06b-abf8-4c 25-91b2-f8d975cf8c07&displaylang=en
ici tu peux trouver qq exemples
http://www.microsoft.com/technet/co...w0505.mspx
(...)
you can reuse this command to upload to a database any log supported
by the Log Parser input formats.Want to upload event log entries? Just
use the EVT input format, as follows:
C:Logs>logparser "SELECT * INTO EventLogsTable FROM System" -i:EVT -
o:SQL -
database:LogsDatabase -iCheckpoint:MyCheckpoint.lpc
(...)
en plus de spistes citées
MOM qui est interessant mais pour 3 serveurs peut etre disproportionné
(il existe quand meme une version express pour moins de 10 serveurs)
Logparser qui est un outil a tester et a adopter (et pas que pour les
evts)
il y'a aussi psloglist de sysinternals
http://www.microsoft.com/technet/sy...glist.mspx
il permet de faire une requette sur plusieurs serveurs simultanéement
et est dédié aux journaux d'evenements
(Logparser que j'aime bcp est plus puissant mais cette puisssance
s'accompagne d'un apprentissage de la syntaxe - apprentissage qui me
semble rentable mais moins immédiat)
--
François Dunoyer [MVP Windows Server / Security]
Des liens sur la sécurisation des systèmes Windows
http://fds.mvps.org/ta/Liens.htm
Site perso : http://www.fdunoyer.net
Merci beaucoup, à tous, pour vos réponses!!
David