بررسي event ها
آيا در ويندوز سرور 2008 راهي براي رديابي و بررسي چگونگي و زمان كپي و حذف فايلهاي اشتراكي توسط كاربران هست؟
4 پاسخ
با سلام
بطور کلی برای رد یابی دسترسی ، ویرایش و حذف فایلها در ویندوز سرور 2008 به بعد برداشتن دو گام زیر ضروری است :
گام نخست : فعال کردن حالت Success ممیزی (Auditing) برای Audit File System و Audit Handle Manipulation
انجام این کار از مسیر زیر صورت می گیرد:
Computer Configuration -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> object Access
چنانچه ردیابی فعالیت های کاربران بر روی فایلها یا پوشه های اشتراکی مد نظر شماست فعال کردن حالت Success ممیزی برای File Share و Detailed File Share نیز ضروری است در این صورت Event ID های زیر در Event Viewer قابل بررسی است :
5140 A network share object was accessed
5142 A network share object was added.
5143 A network share object was modified
5144 A network share object was deleted.
گام دوم : فعال کردن ممیزی (Auditing) در فایل یا پوشه مورد نظر
برای این کار کافیست از مسیر زیر کاربران و گروه هایی که می خواهید هرگونه فعالیت آنها بر روی فایل یا پوشه مورد نظر رصد گردد را انتخاب کرده و نوع فعالیتی که قصد ممیزی آن را دارید مشخص کنید.
security tab --> Advanced --> Auditing Tab --> Add
منابع :
1-منبع1
2-منبع2
باید از گروپ پالیسی audit رو کانفیگ کنین تا بر اساس موارد مورد نظرتون مثل حذف و کپی که فرمودین بهتون event بده
سلام
اگر سرویس audit رو فعال کرده باشین ، میشه
البته میتونید از نرم افزار directory monitor هم استفاده کنید
سلام دوست عزیز
علاوه بر Directory Monitor که نرم افزار بسیار خوب ، ساده و کار راه اندازی هست از نرم افزار Netwrix File Server Change Reporter هم میتونید استفاده کنید .