Bonjour,
Je viens vers vous pour trouver une solution au problème suivant, j'ai un
serveur 2003 qui a pour rôle serveur de fichier.
Les utilisateurs map tous un lecteur réseau pour
enregistrer/modifier/consulter les fichiers présent sur le NAS.
Mon problème réside dans le fait que des fichiers dissparaisse sans raison
apparente (fausse manipulation des utilisateurs?)
Existe t'il un moyen de logger toutes les modifcations apportées aux
fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle
malvaillance?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Marc Lognoul [MVP]
Bonjour,
1) Configurer l'audit "succès" sur l'accès au objets (fichiers, répertoires partagés...), ensuite GPUPDATE /FORCE 2) Configurer l'audit au niveau du système de fichiers, à l'emplacement 3) Utiliser une outil d'analyse des logs, type logparser pour vous simplifier la vie sinon, analyse manuelle du log "Sécurité"
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" wrote in message news:
Bonjour, Je viens vers vous pour trouver une solution au problème suivant, j'ai un serveur 2003 qui a pour rôle serveur de fichier. Les utilisateurs map tous un lecteur réseau pour enregistrer/modifier/consulter les fichiers présent sur le NAS. Mon problème réside dans le fait que des fichiers dissparaisse sans raison apparente (fausse manipulation des utilisateurs?) Existe t'il un moyen de logger toutes les modifcations apportées aux fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle malvaillance?
Merci d'avance de vos suggestions.
Rémy
Bonjour,
1) Configurer l'audit "succès" sur l'accès au objets (fichiers, répertoires
partagés...), ensuite GPUPDATE /FORCE
2) Configurer l'audit au niveau du système de fichiers, à l'emplacement
3) Utiliser une outil d'analyse des logs, type logparser pour vous
simplifier la vie sinon, analyse manuelle du log "Sécurité"
--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" <r.froger@arcsinformatique.fr> wrote in message
news:OvDavesOKHA.4964@TK2MSFTNGP06.phx.gbl...
Bonjour,
Je viens vers vous pour trouver une solution au problème suivant, j'ai un
serveur 2003 qui a pour rôle serveur de fichier.
Les utilisateurs map tous un lecteur réseau pour
enregistrer/modifier/consulter les fichiers présent sur le NAS.
Mon problème réside dans le fait que des fichiers dissparaisse sans raison
apparente (fausse manipulation des utilisateurs?)
Existe t'il un moyen de logger toutes les modifcations apportées aux
fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle
malvaillance?
1) Configurer l'audit "succès" sur l'accès au objets (fichiers, répertoires partagés...), ensuite GPUPDATE /FORCE 2) Configurer l'audit au niveau du système de fichiers, à l'emplacement 3) Utiliser une outil d'analyse des logs, type logparser pour vous simplifier la vie sinon, analyse manuelle du log "Sécurité"
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" wrote in message news:
Bonjour, Je viens vers vous pour trouver une solution au problème suivant, j'ai un serveur 2003 qui a pour rôle serveur de fichier. Les utilisateurs map tous un lecteur réseau pour enregistrer/modifier/consulter les fichiers présent sur le NAS. Mon problème réside dans le fait que des fichiers dissparaisse sans raison apparente (fausse manipulation des utilisateurs?) Existe t'il un moyen de logger toutes les modifcations apportées aux fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle malvaillance?
Merci d'avance de vos suggestions.
Rémy
Rémy
Bonjour, J'ai mis en place l'audit comme vous me l'avez conseillé. Et en effet les logs sont peu lisible, existe t'il des outils pour les exploiters de manière visuel. J'ai testé logparser qui me semble peu intuitif à l'utilisation. Merci de vos conseils.
"Marc Lognoul [MVP]" a écrit dans le message de news:
Bonjour,
1) Configurer l'audit "succès" sur l'accès au objets (fichiers, répertoires partagés...), ensuite GPUPDATE /FORCE 2) Configurer l'audit au niveau du système de fichiers, à l'emplacement 3) Utiliser une outil d'analyse des logs, type logparser pour vous simplifier la vie sinon, analyse manuelle du log "Sécurité"
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" wrote in message news:
Bonjour, Je viens vers vous pour trouver une solution au problème suivant, j'ai un serveur 2003 qui a pour rôle serveur de fichier. Les utilisateurs map tous un lecteur réseau pour enregistrer/modifier/consulter les fichiers présent sur le NAS. Mon problème réside dans le fait que des fichiers dissparaisse sans raison apparente (fausse manipulation des utilisateurs?) Existe t'il un moyen de logger toutes les modifcations apportées aux fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle malvaillance?
Merci d'avance de vos suggestions.
Rémy
Bonjour,
J'ai mis en place l'audit comme vous me l'avez conseillé.
Et en effet les logs sont peu lisible, existe t'il des outils pour les
exploiters de manière visuel.
J'ai testé logparser qui me semble peu intuitif à l'utilisation.
Merci de vos conseils.
"Marc Lognoul [MVP]" <lognoulm@hotmail.com> a écrit dans le message de news:
ugww6psOKHA.5488@TK2MSFTNGP02.phx.gbl...
Bonjour,
1) Configurer l'audit "succès" sur l'accès au objets (fichiers,
répertoires partagés...), ensuite GPUPDATE /FORCE
2) Configurer l'audit au niveau du système de fichiers, à l'emplacement
3) Utiliser une outil d'analyse des logs, type logparser pour vous
simplifier la vie sinon, analyse manuelle du log "Sécurité"
--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" <r.froger@arcsinformatique.fr> wrote in message
news:OvDavesOKHA.4964@TK2MSFTNGP06.phx.gbl...
Bonjour,
Je viens vers vous pour trouver une solution au problème suivant, j'ai un
serveur 2003 qui a pour rôle serveur de fichier.
Les utilisateurs map tous un lecteur réseau pour
enregistrer/modifier/consulter les fichiers présent sur le NAS.
Mon problème réside dans le fait que des fichiers dissparaisse sans
raison apparente (fausse manipulation des utilisateurs?)
Existe t'il un moyen de logger toutes les modifcations apportées aux
fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle
malvaillance?
Bonjour, J'ai mis en place l'audit comme vous me l'avez conseillé. Et en effet les logs sont peu lisible, existe t'il des outils pour les exploiters de manière visuel. J'ai testé logparser qui me semble peu intuitif à l'utilisation. Merci de vos conseils.
"Marc Lognoul [MVP]" a écrit dans le message de news:
Bonjour,
1) Configurer l'audit "succès" sur l'accès au objets (fichiers, répertoires partagés...), ensuite GPUPDATE /FORCE 2) Configurer l'audit au niveau du système de fichiers, à l'emplacement 3) Utiliser une outil d'analyse des logs, type logparser pour vous simplifier la vie sinon, analyse manuelle du log "Sécurité"
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" wrote in message news:
Bonjour, Je viens vers vous pour trouver une solution au problème suivant, j'ai un serveur 2003 qui a pour rôle serveur de fichier. Les utilisateurs map tous un lecteur réseau pour enregistrer/modifier/consulter les fichiers présent sur le NAS. Mon problème réside dans le fait que des fichiers dissparaisse sans raison apparente (fausse manipulation des utilisateurs?) Existe t'il un moyen de logger toutes les modifcations apportées aux fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle malvaillance?
Merci d'avance de vos suggestions.
Rémy
Marc Lognoul [MVP]
Bonjour,
Non Logparser n'est pas "intuitif" mais ce n'était pas vraiment son but premier ;) Voici un "simple" query qui rapportera les effacement de fichier et répertoires: logparser -i:evt -o:csv "SELECT TimeGenerated, RESOLVE_SID(SID) AS [User], Message FROM Security WHERE EventCategoryName = 'Object Access' AND Message LIKE '%Object Type: File Object%' AND Message LIKE '%DELETE%'"
Il existe des outils payant (Quest...) qui permette une traçeabilité extreme de tous les changements au niveau donnée et système... Il faut prévoir le budget en conséquence.
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" wrote in message news:#
Bonjour, J'ai mis en place l'audit comme vous me l'avez conseillé. Et en effet les logs sont peu lisible, existe t'il des outils pour les exploiters de manière visuel. J'ai testé logparser qui me semble peu intuitif à l'utilisation. Merci de vos conseils.
"Marc Lognoul [MVP]" a écrit dans le message de news:
Bonjour,
1) Configurer l'audit "succès" sur l'accès au objets (fichiers, répertoires partagés...), ensuite GPUPDATE /FORCE 2) Configurer l'audit au niveau du système de fichiers, à l'emplacement 3) Utiliser une outil d'analyse des logs, type logparser pour vous simplifier la vie sinon, analyse manuelle du log "Sécurité"
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" wrote in message news:
Bonjour, Je viens vers vous pour trouver une solution au problème suivant, j'ai un serveur 2003 qui a pour rôle serveur de fichier. Les utilisateurs map tous un lecteur réseau pour enregistrer/modifier/consulter les fichiers présent sur le NAS. Mon problème réside dans le fait que des fichiers dissparaisse sans raison apparente (fausse manipulation des utilisateurs?) Existe t'il un moyen de logger toutes les modifcations apportées aux fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle malvaillance?
Merci d'avance de vos suggestions.
Rémy
Bonjour,
Non Logparser n'est pas "intuitif" mais ce n'était pas vraiment son but
premier ;)
Voici un "simple" query qui rapportera les effacement de fichier et
répertoires: logparser -i:evt -o:csv "SELECT TimeGenerated, RESOLVE_SID(SID)
AS [User], Message FROM Security WHERE EventCategoryName = 'Object Access'
AND Message LIKE '%Object Type: File Object%' AND Message LIKE '%DELETE%'"
Il existe des outils payant (Quest...) qui permette une traçeabilité extreme
de tous les changements au niveau donnée et système... Il faut prévoir le
budget en conséquence.
--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" <r.froger@arcsinformatique.fr> wrote in message
news:#DPJMiZRKHA.5032@TK2MSFTNGP05.phx.gbl...
Bonjour,
J'ai mis en place l'audit comme vous me l'avez conseillé.
Et en effet les logs sont peu lisible, existe t'il des outils pour les
exploiters de manière visuel.
J'ai testé logparser qui me semble peu intuitif à l'utilisation.
Merci de vos conseils.
"Marc Lognoul [MVP]" <lognoulm@hotmail.com> a écrit dans le message de
news: ugww6psOKHA.5488@TK2MSFTNGP02.phx.gbl...
Bonjour,
1) Configurer l'audit "succès" sur l'accès au objets (fichiers,
répertoires partagés...), ensuite GPUPDATE /FORCE
2) Configurer l'audit au niveau du système de fichiers, à l'emplacement
3) Utiliser une outil d'analyse des logs, type logparser pour vous
simplifier la vie sinon, analyse manuelle du log "Sécurité"
--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" <r.froger@arcsinformatique.fr> wrote in message
news:OvDavesOKHA.4964@TK2MSFTNGP06.phx.gbl...
Bonjour,
Je viens vers vous pour trouver une solution au problème suivant, j'ai
un serveur 2003 qui a pour rôle serveur de fichier.
Les utilisateurs map tous un lecteur réseau pour
enregistrer/modifier/consulter les fichiers présent sur le NAS.
Mon problème réside dans le fait que des fichiers dissparaisse sans
raison apparente (fausse manipulation des utilisateurs?)
Existe t'il un moyen de logger toutes les modifcations apportées aux
fichiers (noms d'utilisateur, date etc...) afin d'identifier
d'éventuelle malvaillance?
Non Logparser n'est pas "intuitif" mais ce n'était pas vraiment son but premier ;) Voici un "simple" query qui rapportera les effacement de fichier et répertoires: logparser -i:evt -o:csv "SELECT TimeGenerated, RESOLVE_SID(SID) AS [User], Message FROM Security WHERE EventCategoryName = 'Object Access' AND Message LIKE '%Object Type: File Object%' AND Message LIKE '%DELETE%'"
Il existe des outils payant (Quest...) qui permette une traçeabilité extreme de tous les changements au niveau donnée et système... Il faut prévoir le budget en conséquence.
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" wrote in message news:#
Bonjour, J'ai mis en place l'audit comme vous me l'avez conseillé. Et en effet les logs sont peu lisible, existe t'il des outils pour les exploiters de manière visuel. J'ai testé logparser qui me semble peu intuitif à l'utilisation. Merci de vos conseils.
"Marc Lognoul [MVP]" a écrit dans le message de news:
Bonjour,
1) Configurer l'audit "succès" sur l'accès au objets (fichiers, répertoires partagés...), ensuite GPUPDATE /FORCE 2) Configurer l'audit au niveau du système de fichiers, à l'emplacement 3) Utiliser une outil d'analyse des logs, type logparser pour vous simplifier la vie sinon, analyse manuelle du log "Sécurité"
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Rémy" wrote in message news:
Bonjour, Je viens vers vous pour trouver une solution au problème suivant, j'ai un serveur 2003 qui a pour rôle serveur de fichier. Les utilisateurs map tous un lecteur réseau pour enregistrer/modifier/consulter les fichiers présent sur le NAS. Mon problème réside dans le fait que des fichiers dissparaisse sans raison apparente (fausse manipulation des utilisateurs?) Existe t'il un moyen de logger toutes les modifcations apportées aux fichiers (noms d'utilisateur, date etc...) afin d'identifier d'éventuelle malvaillance?
