我想追踪某些文件服务器上的文件和文件夹的创build/删除/移动等事件。 这应该只基于某些文件夹(跟踪文件夹x和别的什么)。 这是一个Windows Server环境。
这是我到目前为止所做的:
它的工作原理,但是你面对大量的无休止的日志条目,其中大部分是无用的。 我甚至只是将安全日志过滤为某些事件ID(4656,4659,4660,4663),但仍然是一团糟。 对于像4663这样的特定ID,您还需要知道触发哪个访问掩码才能使其具有某种意义。
我需要的是某种日常生成的pipe理摘要,最好是HTML。 一个应该能够看到哪些文件和文件夹被创build/删除或移动,没有别的。
看起来像这正是我正在寻找 – > 链接 。 不幸的是脚本开始运行,然后永远挂起。 无法得到它在Server 2008 R2的工作,我的Powershell技能弱,debugging这一点。 我想要监视的文件夹由<80.000个文件和<10.000个文件夹组成。
我有什么select? 你会去审计政策路线还是有更好的select? 如果我能使它与标准工具一起工作,那将是很好的。 我如何汇总和过滤日志以生成清晰且人性化的输出?
TL; DR
寻找一个可怜的人SIEM生成谁创build/删除/移动特定文件共享的文件和文件夹的每日报告。
编辑
sorting一些东西,并得到脚本运行。 这很慢(大约需要20分钟才能检查〜100,000条logging),但工作正常。 所以我现在正在使用这个。 如果有人有更快或更优雅的解决scheme,我想听听。
在正确的轨道上,您需要阅读服务器的安全日志以获取您要查找的事件。 得到一个“数”或阅读XML进一步深入挖掘最好的描述在这里详细“ https://blogs.technet.microsoft.com/heyscriptingguy/2014/06/04/data-mine-the- windows-event-log-by-using-powershell-and-xml / “
如果你不是PowerShell的专家(我也不是),那么你可能不太可能在没有花费大量时间的情况下得到你正在用PS脚本查找的报告。 这将需要相当多的调整(debugging,以使其工作摆在首位),让它看起来你想要的方式,然后设置它的电子邮件等
你可能更好的投资less量的$$在一个软件产品,可以帮助你。 您提到了一个“穷人SIEM”,请记住并不是所有的SIEM产品都是昂贵的。
例如EventSentry对于单个服务器起价为85美元(这听起来就是你所需要的),并有一个文件访问跟踪组件,它完全符合你的需求。 它确实依赖于您的服务器上已经设置的审计(您已经被覆盖),但是会给你非常有用的报告 – 这里是一个例子 。
使用第三方工具的另一个好处是,您可以很容易地安排它,以便您可以通过电子邮件获得它,而且大多数工具也支持多种输出格式,如PDF。