Καλησπερα σε ολους
Θα ηθελα να ρωτησω με ποιον τροπο μπορω να δω ποιος χρηστης εκανε access καποιο αρχειο,τελευταιος καθως και ποιος χρηστης εσβησε καποιο αρχειο απο ενα δικτυακο shared drive.
Ολα αυτα σε περιβαλλον 2003 με AD
Ευχαριστω

Καλησπέρα.

To audit δουλεύει ως εξής:

1. Πηγαίνεις σε κάποιο group policy (στο default domain ή σε άλλοπου πιανει τον server που σε ενδιαφέρει) και απο το Computer config/windows setting/security settings/Local polices/audit policy ενεργοποιείς το audit object access (success-failure και τα δύο η ότι θες)

2. Πηγαίνεις στο object που θες (printer, file, folder, klp) και στο properties/security/advanced/auditing καταχωρείς το group χρηστών που θες να παρακολουθείς, αλλά και τις ενέργειες που θα παρακολουθείς.

3. Στο Security log του Event Viewer παίρνεις τα αποτελέσματα που θες.

Μην το παρακάνεις γιατί θα τιγκάρει το security log και τελικα δεν θα βγάζεις άκρη.

---

Θανάσης Κλαδάκης

Καλημέρα και Χρόνια Πολλά....

Εάν θέλουμε να παρακολουθούμε ΠΑΡΑ ΠΟΛΛΑ αρχεία για το ποιος τα άνοιξε, τα έκανε copy, τα διέγραψε, τα διόρθωσε κλπ, τότε μάλλον ο συγκεκριμένος τρόπος δεν ενδείκνυται, λόγω τεράστιου όγκου logs....

Ο τεράστιος όγκος των αρχείων που πρέπει να παρακολουθεί καθώς και των παραγωμενων logs θα πρέπει να ληφθεί υπόψην ώστε αφενός να μην "ρίξω" όλο το σύστημα, και αφετέρου να μπορέσω να τα διαχειριστώ αποτελεσματικά...

Τι μπορούμε να κάνουμε σε αυτή την περίπτωση?

Θα μπορούσα να έχω και ειδοποίηση όταν κάποιος αντιγράφει ή διαγράφει μεγάλο αριθμό αρχείων???

Ευχαριστώ

Για να δεις τις όποιες αλλαγές σε ενδιαφέρουν πρέπει να ενεργοποιήσεις auditing, το όποιο κόστος μην το πάρεις δεδομένο αν δεν το δοκιμάσεις! Βέβαια πρέπει να ξέρεις περίπου τι ζητάς από το auditing και με δοκιμές να φτάσεις στο επιθυμητό αποτέλεσμα.
Για να λαμβάνεις notifications ένας εύκολος τρόπος είναι σε win 7 & 2008 να δημιουργήσεις scheduled task με trigger "On an event" ή εναλλακτικά να μέσω event viewer να κάνεις "attach a task to this log" http://technet.microsoft.com/en-us/library/cc748900.aspx
Μάλιστα win 2008 υπάρχει το πολύ καλό, κατά τη γνώμη μου, event viewer subscription όπου μπορείς να έχεις 1 server στον οποίο μαζεύονται events από περιφερειακά συστήματα http://technet.microsoft.com/en-us/library/cc766042.aspx
Τώρα σε win 2003 & XP νομίζω πως είναι πιο δύσκολο με την έννοια ότι θέλει δουλειά από scripts etc. Όχι ότι εκεί δεν γίνεται.
Τέλος θα σου έλεγα πριν πας σε άλλες εμπορικές λύσεις να δοκιμάσεις κάτι από τα παραπάνω γιατί μπορεί να σε καλύπτουν και είναι ήδη πληρωμένα!

---

Λέμε και "δεν ξέρω" καμιά φορά!
MCITP, MCSE Security, Security+ CCNA

Το auditing (ποιος τα άνοιξε, τα έκανε copy, τα διέγραψε, τα διόρθωσε, κλπ) τι θα επηρεάσει και που?

Θα επηρεάσει το performance στο file server όπου βρίσκονται τα αρχεία ή στο domain controller?
Τα events (τα οποία θα είναι και ΠΑΡΑ ΠΟΛΛΑ!) θα μαζεύονται στο file server όπου βρίσκονται τα αρχεία ή στο domain controller?
Ο domain controller επηρεάζεται καθόλου από το auditing?

To auditing θα επηρεάσει τον/τους servers που εμπλέκονται, δλδ αν μιλάμε για fileserver πιθανότατα θα επηρεάσει μόνο αυτόν γιατί ο ίδιος κάνει όλη τη δουλειά. File operations, auditing, event log management.
Τώρα πόσο από πλευράς performance δεν υπάρχει απάντηση γιατί έχει να κάνει με τα διαθέσιμα resources και το configuration. Γιαυτό λέω μόνο με δοκιμές θα καταλήξεις στο αν σου κάνει ή όχι. Από την άλλη βέβαια αν το έχεις ανάγκη τότε θα το φέρεις εκεί που θέλεις και θα το ικανοποιήσεις όσον αφορά τις resources ανάγκες.

---

Λέμε και "δεν ξέρω" καμιά φορά!
MCITP, MCSE Security, Security+ CCNA

Ενας εύκολος τρόπος να βρεις Event id και να βγάλεις report από Event Viewer  ειναι ο Logparser 2.2 .

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=24659

Δες και τα άρθρα με απλά scripts με βάση το Logparser.

http://blogs.iis.net/chrisad/archive/2006/07/13/Chris.aspx

http://rideagainstthemachine.blogspot.com/2008/02/using-microsoft-log-parser-to-search.html

Αρα ενεργοποιείς Auditing και με τον Logparser βρίσκεις Eventid.

Σε Windows 2008 εχεις και το Wevtutil

http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2007/09/02/handling-server-core-events.aspx

http://blogs.msdn.com/b/ericfitz/archive/2008/07/16/wevtutil-scripting.aspx

http://technet.microsoft.com/en-us/library/cc732848(v=ws.10).aspx

http://www.windowsecurity.com/articles/WEVTUTIL-Manage-Event-Logs.html

---

Skok

B.Sc. Ed. Physics, M.Sc. Information Systems (cand.)
MCT, MCITP, MCSE, MCTS, MCP+I, MCP, ITIL v3, CME

"...it seems that the laws of physics present no barrier to reducing the size of computers
until bits are the size of atoms, and quantum behavior holds dominant sway”

Richard P. Feynman, Nobel Prize in Physics 1965

Εχεις σκεφτεί καθόλου την λύση να έχεις document libraries στον sharepoint ??

Θα σου κρατάει και versioning, ποιός άλλαξε, ποιο αρχείο, πότε , μπορείς να βάλεις και permissions ανα users / groups ... και delete deny

και έχει και recycle bin για το λάθος του χρήστη ....

και άλλα αρκετά καλούδια ...

---

Panagiotis Kouris

Τα document libs (Sharepoint) τα έχω ήδη σκεφτεί, αλλά....

Υπάρχουν εκατοντάδες χιλιάδες αρχεία και το μέγεθος ξεπερνά το 1ΤΒ....

Πολύ φοβάμαι ότι είναι απαγορευτικά αυτά τα μεγέθη για τα libs του sharepoint...

Έχει κάποιος διαφορετική άποψη???

Γιατί είναι απαγορευτικά?

---

Kostas Lagiopoulos

Δεν έχω εμπειρία με τα doc libs του sharepoint και σε γενικές γραμμές έχω την εντύπωση ότι η λύση αυτή είναι για περιπτώσεις με λίγα αρχεία (είτε σε αριθμό είτε σε μέγεθος)....

Αυτό είναι καθαρά η δική μου αίσθηση χωρίς να στηρίζεται σε συγκεκριμένα στοιχεία...

Αν έχει κάποιος κάποια διαφορετική άποψη ή ακόμη καλύτερα και κάποια εμπειρία, ας μας το πει... Θέλω να το ακούσω....

Αν μιλάμε για δωρεάν λύση, sharepoint foundation, είναι αλήθεια οτι δυσκολεύει το πράγμα.

Θα ξεφύγω λίγο απο τα νερά μου, οπότε κάθε διόρθωση είναι απαραίτητη

Ο foundation με sql express 2008R2, Μπορεί να υποστηρίξει μέχρι 10GB database αλλά διάβασα οτι μπορείς να καλύψεις την ανάγκη για μεγαλύτερη database στο σενάριο αυτό με rbs database (remote blob database) , τις πληροφορίες της διάβασα στα παρακάτω άρθρα

http://technet.microsoft.com/en-us/library/ee748607.aspx 

http://technet.microsoft.com/en-us/library/ee663474.aspx

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=24681 

αλλά επίσης καταλαβαίνω οτί έχει έχει και άλλο administration overhead / configuration κτλ

Από την άλλη, συνεχίζοντας το διάβασμα, σκεπτόμενος να πας σε sharepoint server, (o τσάμπας έφυγε με τον Αγιο Βασίλη), θυμόμουνα οτι είναι recommended οι database του να είναι στα 200GB και είδα οτι το sharepoint service pack 1 λύνει αυτό το θέμα http://sharepoint.microsoft.com/blog/Pages/BlogPost.aspx?pID=988  υπό προυποθέσεις βέβαια κυρίως performance side ...

Οπότε θα τολμήσω να πω οτι στο σενάριο του sharepoint Server το θέμα του χώρου δεν υφίσταται .... γιατί θα μπορούσες κάλιστα να "σπάς" και τις βάσεις /ανα έτος / τμήμα / arciving κτλ  

Για το σενάριο με τον foundation, απλά δεν ξέρω ..... γιατί δεν γνωρίζω με την λύση blob που μπορείς να φτάσεις και αν τελικά είναι Η λύση

..... εν αναμονή βοήθειας

---

Panagiotis Kouris