我一直在注意到我们的SQL服务器上重复失败的login尝试。 它每分钟发生一次相同的login。 日志文件查看器的一个例子 10/18/2011 13:54:50,login,未知,用户'LOLZOR \ lolsqlserver'login失败。 [CLIENT:] 10/18/2011 13:54:50,login,未知,错误:18456严重性:14状态:16 状态16意味着:login有效,但没有权限使用目标数据库 请注意,凭据也用于启动所有SQL Server服务 Audit Login Failed NTDomainName>LOLZOR Error 18456 HostName EU_LOLWEB1 SPID">71</Column> SessionLoginName"LOLZOR\lolsqlserver TextData">Login failed for user 'LOLZOR\lolsqlserver' ClientProcessID"2364 NTUserName"lolsqlserver ApplicationName">Queue Reader Main (distribution) StartTime">2011-10-18T12:18:21.72+02:00 ServerName">EU_LOLWEB1 DatabaseID">1</Column> LoginName">LOLZOR\lolsqlserver DatabaseName">master EventSequence">528 你会注意到login是从sql server本身发出的 目标数据库似乎指向“主”(见下文) 如果我跟踪过程中的PID监视器,我可以看到,login是由qrdsvc.exe执行的 描述 Description: SQL Server Replication QueueReader Agent Company: Microsoft Corporation Name: […]
我正在使用Debian squeeze并在其上安装auditd 。 当我运行aureport它总是显示Number of logins = 0和Number of failed logins = 0. 审计规则中应该添加什么规则来logging这些参数?
我不清楚如何正确说出我们的安全状态。 我们托pipe的IFD CRM实例运行的数据中心没有支付这些审计费用。 但是,微软文献表明CRM Online(托pipe在MS服务器上)具有这些authentication,并且随着每个服务更新,authentication也在不断增长。 如果我们的CRM预置软件是最新的,那么可以肯定地说,CRM预置软件本身符合这里所描述的标准,但是数据中心还没有被审计人员“authentication”? ISO 27001 SAS70 II型 萨class斯 – 奥克斯利法案 Microsoft Dynamics CRM Online服务安全港 ISO 27001 SSAE 16 SOC1(II型) 数据处理协议(DPA) 欧盟示范条款 商业伙伴协议 – 使公司成为健康保险可携性和责任法案(HIPAA)标准
我正在使用Windows Server 2008 R2,我想创build一个简单的脚本来审计在公司中进行的打印。 我希望这些细节可以在共享文本文件中进行审计,并在有人发送要打印的内容后运行脚本: “用户名,计算机名称,文档名称和path,页数,打印机名称,date,时间” 任何build议将不胜感激。 谢谢。
当用户/进程覆盖文件时是否logging了任何事件? (Win Server 2012 R2)
要在软件限制GPO中指定安装过程中允许执行的可执行文件/脚本文件的哈希,例如%LOCALAPPDATA%\Temp ; 如何弄清楚给定的安装程序将执行什么程序,以及它们的哈希是什么? 请注意,也有人build议,这可以通过首先将计算机移动到没有应用软件限制的OU,然后从那里首先运行安装程序来完成。 但在我看来,如果用户需要重新安装产品,或者修理它, 如果没有散列方法,他们将无法这样做,所以散列方法似乎是要走的路。
在AWS控制台中,我可以将IAM用户分配给其权限由相关策略定义的组。 IAM中的凭证报告似乎只报告IAM每个用户的一些基本属性及其最后login时间(从各个字段(如password_last_used和access_key_1_last_used_date )推断出来)。 但它没有告诉我组或angular色级别的信息。 有什么办法可以监视任何尝试,成功或以其他方式更改这些权限?
我在/etc/audit/audit.rules中设置审计规则。 作为要求:审计系统应configuration为审计所有pipe理,特权和安全措施。 所以我添加一行到/etc/audit/auditd.rules: -a exit,always -S stime -S acct -S reboot -S swapon 但是,通过service auditd restart重新启动audit.d之后: There is error comeout: Stopping auditd: [ OK ] Starting auditd: [ OK ] Syscall name unknown: stime There was an error in line 14 of /etc/audit/audit.rules 看来stime不能被承认。 有没有人能帮我找出我添加的规则有什么问题? 非常感谢!
我手上有一个谜。 有一天/etc/rc5.d/S11auditd成了/etc/rc5.d/K88auditd ,没有人为此负责。 看起来好像只是自己发生,这是不可能的,需要一点点调查。 假设默认的Fedora 12安装,跟踪导致auditd被删除的初始化序列的操作的方式是什么? 到目前为止,我检查: /var/log/messages显示有一次恶魔在重新启动时被正确closures,并且从未再次加载。 /var/log/audit/audit.log通过ausearch显示基本相同的东西。 chkconfig | grep audit chkconfig | grep audit显示它正在closures,但只在第五个运行级别。 我什至尝试.bash_history没有运气。 last也显示没有人用ssh远程login。 那么,我错过了什么? 在哪里寻找更多信息?
我正在寻找一个cli(命令行界面)程序,基本上会以更友好的方式尾随1个日志或一组日志/ var / log和飞行输出。 Perl将是最好的,但不是先决条件。