Suivi des modifications de fichier

Le
Rémy
Bonjour,
Je viens vers vous pour trouver une solution au problème suivant, j'ai un
serveur 2003 qui a pour rôle serveur de fichier.
Les utilisateurs map tous un lecteur réseau pour
enregistrer/modifier/consulter les fichiers présent sur le NAS.
Mon problème réside dans le fait que des fichiers dissparaisse sans raison
apparente (fausse manipulation des utilisateurs?)
Existe t'il un moyen de logger toutes les modifcations apportées aux
fichiers (noms d'utilisateur, date etc) afin d'identifier d'éventuelle
malvaillance?

Merci d'avance de vos suggestions.

Rémy
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Marc Lognoul [MVP]
Le #20195671
Bonjour,

1) Configurer l'audit "succès" sur l'accès au objets (fichiers, répertoires
partagés...), ensuite GPUPDATE /FORCE
2) Configurer l'audit au niveau du système de fichiers, à l'emplacement
3) Utiliser une outil d'analyse des logs, type logparser pour vous
simplifier la vie sinon, analyse manuelle du log "Sécurité"

--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/



"Rémy" news:
Bonjour,
Je viens vers vous pour trouver une solution au problème suivant, j'ai un
serveur 2003 qui a pour rôle serveur de fichier.
Les utilisateurs map tous un lecteur réseau pour
enregistrer/modifier/consulter les fichiers présent sur le NAS.
Mon problème réside dans le fait que des fichiers dissparaisse sans raison
apparente (fausse manipulation des utilisateurs?)
Existe t'il un moyen de logger toutes les modifcations apportées aux
fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle
malvaillance?

Merci d'avance de vos suggestions.

Rémy




Rémy
Le #20291481
Bonjour,
J'ai mis en place l'audit comme vous me l'avez conseillé.
Et en effet les logs sont peu lisible, existe t'il des outils pour les
exploiters de manière visuel.
J'ai testé logparser qui me semble peu intuitif à l'utilisation.
Merci de vos conseils.


"Marc Lognoul [MVP]"
Bonjour,

1) Configurer l'audit "succès" sur l'accès au objets (fichiers,
répertoires partagés...), ensuite GPUPDATE /FORCE
2) Configurer l'audit au niveau du système de fichiers, à l'emplacement
3) Utiliser une outil d'analyse des logs, type logparser pour vous
simplifier la vie sinon, analyse manuelle du log "Sécurité"

--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/



"Rémy" news:
Bonjour,
Je viens vers vous pour trouver une solution au problème suivant, j'ai un
serveur 2003 qui a pour rôle serveur de fichier.
Les utilisateurs map tous un lecteur réseau pour
enregistrer/modifier/consulter les fichiers présent sur le NAS.
Mon problème réside dans le fait que des fichiers dissparaisse sans
raison apparente (fausse manipulation des utilisateurs?)
Existe t'il un moyen de logger toutes les modifcations apportées aux
fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle
malvaillance?

Merci d'avance de vos suggestions.

Rémy







Marc Lognoul [MVP]
Le #20292231
Bonjour,

Non Logparser n'est pas "intuitif" mais ce n'était pas vraiment son but
premier ;)
Voici un "simple" query qui rapportera les effacement de fichier et
répertoires: logparser -i:evt -o:csv "SELECT TimeGenerated, RESOLVE_SID(SID)
AS [User], Message FROM Security WHERE EventCategoryName = 'Object Access'
AND Message LIKE '%Object Type: File Object%' AND Message LIKE '%DELETE%'"

Il existe des outils payant (Quest...) qui permette une traçeabilité extreme
de tous les changements au niveau donnée et système... Il faut prévoir le
budget en conséquence.

--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/

"Rémy" news:#
Bonjour,
J'ai mis en place l'audit comme vous me l'avez conseillé.
Et en effet les logs sont peu lisible, existe t'il des outils pour les
exploiters de manière visuel.
J'ai testé logparser qui me semble peu intuitif à l'utilisation.
Merci de vos conseils.


"Marc Lognoul [MVP]" news:
Bonjour,

1) Configurer l'audit "succès" sur l'accès au objets (fichiers,
répertoires partagés...), ensuite GPUPDATE /FORCE
2) Configurer l'audit au niveau du système de fichiers, à l'emplacement
3) Utiliser une outil d'analyse des logs, type logparser pour vous
simplifier la vie sinon, analyse manuelle du log "Sécurité"

--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/



"Rémy" news:
Bonjour,
Je viens vers vous pour trouver une solution au problème suivant, j'ai
un serveur 2003 qui a pour rôle serveur de fichier.
Les utilisateurs map tous un lecteur réseau pour
enregistrer/modifier/consulter les fichiers présent sur le NAS.
Mon problème réside dans le fait que des fichiers dissparaisse sans
raison apparente (fausse manipulation des utilisateurs?)
Existe t'il un moyen de logger toutes les modifcations apportées aux
fichiers (noms d'utilisateur, date etc...) afin d'identifier
d'éventuelle malvaillance?

Merci d'avance de vos suggestions.

Rémy











Publicité
Poster une réponse
Anonyme