centralisation des journaux d'évennements et audit

Le
David
Bonjour,



Je possède une unité de production composée de 3 serveurs sous
Windows 2003 Std.
J'ai de gros problèmes de déplacements ou suppressions volontaires
de dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
scrupuleux.
J'ai activé les audits, mais la lecture des journaux est très
compliquée étant donné le nombre d'utilisateurs et le nombre d'accès
journaliers.
Je ne sais pas du tout comment je pourrais optimiser la lecture et
la recherche d'évennements. L'idéal et je ne sais pas si ça existe,
serait de pouvoir extraire en base de données, les informations des
différents journaux d'évennements.

Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?

Existe t-il une application pouvant centraliser mes journaux?

Quelqu'un a t-il déjà été confronté à ce genre de problème, et
comment a t-il pu le résoudre?

Merci!

David.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry Frache
Le #756914
Bonjour,

Microsoft Operation Manager est le logiciel qui peut répondre à cette
problématique.
Autrement, si vous connaissez le vbscript, vous pourriez développer un
script qui analyserait les journaux pour vous (attendu que la suppression
des fichiers correspond à un ID spécifique).

Thierry Frache

"David" news:46a8d46b$0$10026$
Bonjour,



Je possède une unité de production composée de 3 serveurs sous Windows
2003 Std.
J'ai de gros problèmes de déplacements ou suppressions volontaires de
dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
scrupuleux.
J'ai activé les audits, mais la lecture des journaux est très
compliquée étant donné le nombre d'utilisateurs et le nombre d'accès
journaliers.
Je ne sais pas du tout comment je pourrais optimiser la lecture et la
recherche d'évennements. L'idéal et je ne sais pas si ça existe, serait de
pouvoir extraire en base de données, les informations des différents
journaux d'évennements.

Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?

Existe t-il une application pouvant centraliser mes journaux?

Quelqu'un a t-il déjà été confronté à ce genre de problème, et comment
a t-il pu le résoudre?

Merci!

David.


THP
Le #756912
On 27 juil, 08:50, "Thierry Frache" wrote:
Bonjour,

Microsoft Operation Manager est le logiciel qui peut répondre à cette
problématique.
Autrement, si vous connaissez le vbscript, vous pourriez développer un
script qui analyserait les journaux pour vous (attendu que la suppression
des fichiers correspond à un ID spécifique).

Thierry Frache

"David"
news:46a8d46b$0$10026$

Bonjour,

Je possède une unité de production composée de 3 serveurs sou s Windows
2003 Std.
J'ai de gros problèmes de déplacements ou suppressions volontai res de
dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
scrupuleux.
J'ai activé les audits, mais la lecture des journaux est très
compliquée étant donné le nombre d'utilisateurs et le nombre d'ac cès
journaliers.
Je ne sais pas du tout comment je pourrais optimiser la lecture et la
recherche d'évennements. L'idéal et je ne sais pas si ça existe, serait de
pouvoir extraire en base de données, les informations des différents
journaux d'évennements.

Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?

Existe t-il une application pouvant centraliser mes journaux?

Quelqu'un a t-il déjà été confronté à ce genre de probl ème, et comment
a t-il pu le résoudre?

Merci!

David.



MOM ou maintenant SCOM et System center essential sont des bons
produits, mais c'est peut etre une solution un peu chere ...
Il y a logparser 2.2 qui est gratuit et se telecharge à l'adresse
suivante

http://www.microsoft.com/downloads/details.aspx?FamilyID‰0cd06b-abf8-4c 25-91b2-f8d975cf8c07&displaylang=en

ici tu peux trouver qq exemples

http://www.microsoft.com/technet/community/columns/profwin/pw0505.mspx
(...)
you can reuse this command to upload to a database any log supported
by the Log Parser input formats.Want to upload event log entries? Just
use the EVT input format, as follows:

C:Logs>logparser "SELECT * INTO EventLogsTable FROM System" -i:EVT -
o:SQL -
database:LogsDatabase -iCheckpoint:MyCheckpoint.lpc

(...)


F. Dunoyer [MVP]
Le #756294
David avait prétendu :
Bonjour,



Je possède une unité de production composée de 3 serveurs sous Windows
2003 Std.
J'ai de gros problèmes de déplacements ou suppressions volontaires de
dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
scrupuleux.
J'ai activé les audits, mais la lecture des journaux est très compliquée
étant donné le nombre d'utilisateurs et le nombre d'accès journaliers.
Je ne sais pas du tout comment je pourrais optimiser la lecture et la
recherche d'évennements. L'idéal et je ne sais pas si ça existe, serait de
pouvoir extraire en base de données, les informations des différents journaux
d'évennements.

Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?

Existe t-il une application pouvant centraliser mes journaux?

Quelqu'un a t-il déjà été confronté à ce genre de problème, et comment a
t-il pu le résoudre?

Merci!

David.


en plus de spistes citées
MOM qui est interessant mais pour 3 serveurs peut etre disproportionné
(il existe quand meme une version express pour moins de 10 serveurs)

Logparser qui est un outil a tester et a adopter (et pas que pour les
evts)

il y'a aussi psloglist de sysinternals
http://www.microsoft.com/technet/sysinternals/utilities/psloglist.mspx

il permet de faire une requette sur plusieurs serveurs simultanéement
et est dédié aux journaux d'evenements
(Logparser que j'aime bcp est plus puissant mais cette puisssance
s'accompagne d'un apprentissage de la syntaxe - apprentissage qui me
semble rentable mais moins immédiat)

--
François Dunoyer [MVP Windows Server / Security]
Des liens sur la sécurisation des systèmes Windows
http://fds.mvps.org/ta/Liens.htm
Site perso : http://www.fdunoyer.net

David
Le #758757
Bonjour,

Merci beaucoup, à tous, pour vos réponses!!

David

On 27 juil, 08:50, "Thierry Frache" wrote:
Bonjour,

Microsoft Operation Manager est le logiciel qui peut répondre à cette
problématique.
Autrement, si vous connaissez le vbscript, vous pourriez développer un
script qui analyserait les journaux pour vous (attendu que la suppression
des fichiers correspond à un ID spécifique).

Thierry Frache

"David"
news:46a8d46b$0$10026$

Bonjour,
Je possède une unité de production composée de 3 serveurs sous Windows
2003 Std.
J'ai de gros problèmes de déplacements ou suppressions volontaires de
dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
scrupuleux.
J'ai activé les audits, mais la lecture des journaux est très
compliquée étant donné le nombre d'utilisateurs et le nombre d'accès
journaliers.
Je ne sais pas du tout comment je pourrais optimiser la lecture et la
recherche d'évennements. L'idéal et je ne sais pas si ça existe, serait de
pouvoir extraire en base de données, les informations des différents
journaux d'évennements.
Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?
Existe t-il une application pouvant centraliser mes journaux?
Quelqu'un a t-il déjà été confronté à ce genre de problème, et comment
a t-il pu le résoudre?
Merci!
David.



MOM ou maintenant SCOM et System center essential sont des bons
produits, mais c'est peut etre une solution un peu chere ...
Il y a logparser 2.2 qui est gratuit et se telecharge à l'adresse
suivante

http://www.microsoft.com/downloads/details.aspx?FamilyID‰0cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en

ici tu peux trouver qq exemples

http://www.microsoft.com/technet/community/columns/profwin/pw0505.mspx
(...)
you can reuse this command to upload to a database any log supported
by the Log Parser input formats.Want to upload event log entries? Just
use the EVT input format, as follows:

C:Logs>logparser "SELECT * INTO EventLogsTable FROM System" -i:EVT -
o:SQL -
database:LogsDatabase -iCheckpoint:MyCheckpoint.lpc

(...)





Publicité
Poster une réponse
Anonyme