.關鍵字:文件河,bmail,監控目錄變化修改刪除,檔案稽核,即時監控
‧本篇文章與檔案監控(file audit) 那篇的出發點並不一樣,在於檔案稽核只是用來
紀錄誰存取過,重心在於File Server。但是檔案即時監控的目的在於監控線上
網站(如iis web)的檔案是否被修改過,並在一瞬間發alarm警告信,讓網管員可以
把傷害降到最低。
測試環境:
-------------------------------------------
windows 2008 R2 英文試用版
(來源:microsoft)
文件河 即時檔案監控軟體
(作者及來源:http://semify.blogbus.com/)
bmail.exe 寄信元件(client)
(作者及來源: http://www.beyondlogic.org/solutions/cmdlinemail/cmdlinemail.htm )
請將bmail.exe 跟文件河放在一起
-------------------------------------------
1.文件河沒有安裝檔,所以解壓縮後,要把捷徑設在啟動或排程裡,
否則並不會監視。
2.通常會用到3個功能:
a.監控資料夾,排除資料夾
b.看log
c.執行.exe .bat檔 (文件河沒有mail元件,所以要用bmail)
3.一開始什麼都沒有,所以按左邊的添加,把要監控的資料夾加進來。
以下圖為例,我是新增一個c:\test 來監控。
4.要監控什麼動作是在下圖的選單中設定的。
5.在選單設置\高級監視設置裡則可設定 要排除監控的資料夾。
6.設定好之後,按一下左上方的系統監視,之後要是有修改
就會跳出如下圖的訊息。
7.雖然設定到這裡一切看似ok,但alarm警告卻沒有主動告知網管人員。
所以文件河的作者加入了一個功能:當發生警告時,執行某個執行檔,並傳入參數。
於是我寫了一個批次檔,讓文件河傳入被修改的檔案名稱,並寄出信件。
a.請在文件河的目錄裡加一個sendMail.bat,內容如下
-h -a "subjectXXX" -b "XXXserver File had Changed:" %1___ %2
-s 是指mailserver 主機ip -f 寄件者 -t 是收信者 -h -a 是信件主旨
-b 是信件內容 %1 是指第1筆傳入參數 %2是指第2筆
(如果你的Mail server 不需特別認證,寄件者有時可隨便取)
b.接著程序或文件位置選sendMail.bat ,調用參數打 <file>(要空1格)<datetime>
如下圖
c.接著就可試著刪除一筆檔案,看看有沒有寄信。
8.簡而言之,是這樣:
a.文件河監控到文件被修改,執行sendMail.bat <file> <datetime>
b.sendMail.bat 將<file> 指定給%1 ,將<datetime> 指定給%2
c.bmail.exe 寄信
9.請注意bmail.exe 只是client寄信元件,角色如outlook,
仍需要安裝mail server 才能寄信。
10.文件河的功能大致上是這樣,另外在文件河的目錄下可看到log檔。
11.有時會同時寄出2封信,因為刪除檔案含修改+刪除。
12.在免費軟體上,文件河算是功能最完整的一個軟體,
但若是大企業,應該購買專業監控軟體來做監控及防禦才對。
因為文件河只能做通知而已。
~END~
沒有留言:
張貼留言