二、windows 內建檔案監控機制(File Monitor,File Auditor)
前一段落講到FSA 的用法,裝成功後雖然好用,log不會爆掉,
不過一般網管通常在有人反應時才會查log內容,查的機率機率很少,
不想花錢買軟體,這時候就可使用內建的稽核機制。
測試環境:
‧windows 2003 standard with sp2 中文版
‧本機安全性原則
‧Log Parser 2.2
---------------------------------------------------------
1.首先要到系統管理工具的本機安全性原則,
將本機原則\稽核原則\稽核物件存取 ,設為成功。
意思是只要刪除成功,修改成功,讀取成功..等,
都會紀綠在log裡。
注意:若是你的電腦要加入網域,可能就無法私自修改本機安全性原則,
只能從網域控制站裡的群組原則修改。再來就是權限要夠大。
2.重開機後,就是設定你要監控的文件夾。
在要監控的資料夾按滑鼠右鍵選內容,
到安全性\進階\稽核 裡,把要被監控的使用者加進來,
不過通常是everyone。
.設定要監控的項目。
.如果只是要監控刪除項目,只要寫入及刪除項目打勾即可,不用全部打勾。
3.接下來你就試試看新增一個檔案,然後到log檔裡看看內容如何。
4.都確定開始紀錄後,過一段時間後,看log檔增加多大,再將log檔設很大一點。
事件檢視器裡的log檔放在C:\WINDOWS\system32\config 裡,
iis等log 則是在各自的目錄裡。
--------------------------
第一次用的人一定會說:這要看到什麼時候阿!
--------------------------
4.所以要再裝log parser 2.2 ,專門解析log用。
(微軟都幫你想好了,請至微軟網站下載並安裝並執行)
5.這是一個簡單的語法:
logparser "SELECT * INTO report2.txt From Security
意思是 從安全性事件中顯示所有欄位的資料,匯進report2.txt 裡
下圖是我的report2.txt內容,最上方就是欄位名稱,要用的時候注意大小寫。
6.因為這樣做不了什麼事,所以要改成
logparser "SELECT * INTO report2.txt From Security WHERE EventID = 560 AND Message like '%DELETE%' "
意思是 列出 事件id=560 且訊息內容含DELETE 的紀錄,並且顯示所有欄位
7.如果覺得資料量還是太多,可改成
logparser "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO report.txt From Security WHERE EventID = 560 AND Message like '%DELETE%' "
只顯示部份欄位
(一開始無法知道欄位名稱,所以才要打SELECT * 來知道欄位的內容)
8.WINDOWS 內建監控大概就是這樣。
注意事項:
1.要注意WINDOWS 版本不同,結果可能不同。
2.WINDOWS 2008 server加了較多的稽核項目。
3.log 要開大一點,但是可能會拖垮速度。
4.如果要做到隨時監控並mail回報,就要寫程式了。
5.log parser 滿好用的,另闢文章講解。
6.檔案即時監控另闢文章講解。
沒有留言:
張貼留言