审计师将很快访问我们的办公室,他们将需要只读访问我们的数据。 我已经创build了一个域用户帐户,并将它们放入一个名为“Auditors”的组中。 我们有一个文件服务器(Windows Server 2008),共有十个共享文件夹。 所有共享都设置为允许完全访问经过身份validation的用户,访问限制通过NTFS ACL实现。 大多数文件夹都允许完全访问“域用户”组,但是审计人员不需要进行任何更改。 由于我们有大约一百万个文件,因此需要花费几个小时来更新NTFS ACL。 这是我目前正在考虑的选项。 创build一个“员工”组来分配读/写,而不是在共享级别的“域用户” 创build一个“工作人员”组来分配读/写,而不是NTFS级别的“域用户” 拒绝访问共享级别的“审计员”组 拒绝访问NTFS级别的“审计人员”组 接受现状并相信审计师。 我将来可能需要configuration类似的用户,因为我们的一些承包商需要一个域帐户,但不应该能够修改我们的客户端数据。 有这个最好的做法吗?
我想用logstash来收集日志文件,文件的格式是这样的: type=USER_START msg=audit(1404170401.294:157): user pid=29228 uid=0 auid=0 ses=7972 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:session_open acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success' 我应该用哪个filter来匹配这条线? 或者有另一种方式来处理它。 任何帮助,将不胜感激。 使用下面的模式来匹配grokdebugging器的行,但仍然得到一个No matches消息。 type=%{WORD:audit_type} msg=audit\(%{NUMBER:audit_epoch}:%{NUMBER:audit_counter}\): user pid=%{NUMBER:audit_pid} uid=%{NUMBER:audit_uid} auid=%{NUMBER:audit_audid} subj=%{WORD:audit_subject} msg=%{GREEDYDATA:audit_message} 但是,当我删除subj=%{WORD:audit_subject} msg=%{GREEDYDATA:audit_message} ,它成功,并得到这样的JSON对象。 { "audit_type": [ [ "USER_END" ] ], "audit_epoch": [ [ "1404175981.491" ] ], "BASE10NUM": [ [ "1404175981.491", "524", "1465", "0", "0" ] ], […]
Exchange Server是否能够充分防止邮箱文件夹中的回收项目? 我想从审计angular度确定存在哪种风险级别/可以将哪些信任放入Exchange数据库logging中。 是否有一个(错误的)function,允许terminal用户修改他们自己的消息发送/接收date字段? 有没有一种合理的方式来编辑Exchange Serverpipe理员的文件来做出这样的改变? 最重要的是:是否有任何一种“序列号”,我们可以用来审核Exchangelogging的date操纵证据(例如msg100 = Dec 15,msg101 = Dec 10 ,msg102 = Dec 16)
我正在尝试使用ausearch工具search我的auditd日志中的特定条目。 问题是audit.log中的大部分条目看起来都是不可测的。 即使在日志中有匹配的条目,使用匹配参数进行search通常会返回<no matches> 。 例如,以下是来自/var/log/audit/audit.log的示例条目: type=SYSCALL msg=audit(1440053711.929:69343): arch=c000003e syscall=59 success=yes exit=0 a0=7f2abbb5d328 a1=7f2abbb5d1a0 a2=7f2abbb5d1c0 a3=7f2abb8199d0 items=0 ppid=16908 pid=16911 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="rm" exe="/bin/rm" key=(null) 这里是sudo ausearch -a 69343的输出: user@host:~$ sudo ausearch -a 69343 <no matches> 如果文件被指定,则会发生同 user@host:~$ sudo ausearch -a 69343 -if /var/log/audit/audit.log <no matches> 这不仅限于-a参数: […]
我们有时会在现场生产服务器上由IT团队更改web.config中的configuration。 我想创build一个审计跟踪,例如,“10月11日,文件”bar“中的”foo“属性改为”banana“。 我的第一个想法是创build一个每小时运行一次的PowerShell脚本,如果其中一个.config文件发生更改,请将其保存在带时间戳的文件夹中。 我的第二个想法是,这一定是一个已经解决的问题。 理想情况下,configuration文件的变化将不被允许,任何改变都需要一个新的部署,但是我不太可能推动。 我说“web.config”,但我有几个不同的XMLconfiguration文件:web.config,app.config,nant.configs。 我需要确切地知道这些configuration文件中(什么时候)和(理想地)由谁更改(大约)。 有什么样的标准方式或开源工具来做文件更改logging?
我只接pipe了一个拥有三个域控制器(2003/2008 Standard)的中型企业的IT部门,每当我创build一个新用户时,经过一段时间后,用户帐户无法loginnetworking上的大多数机器。 我已经追溯到“login到…”区域成为填充一个小的机器列表。 即使我把这个选项设置到所有的电脑上,这个清单也会在一段时间后回来。 我开始在所有的域控制器上searchvbs和ps1脚本,并在其中join了“工作站”这个词,以查看是否有某种脚本可以被指责,但是我至今还是空手而归。 有没有一个知名的软件套件可以导致这个(微软的Forefront等)? 我怎样才能弄清楚是什么导致这个列表改变? 编辑 我在tonyr roth的build议中打开了审计,现在我看到其中一个域控制器的SYSTEM帐户正在定期写入userWorkstations属性。 系统帐户是否意味着某种服务或计划任务? 编辑 http://www.experts-exchange.com/Software/Server_Software/File_Servers/Active_Directory/Q_24106718.html 似乎有我的解决scheme,EBS许可。 编辑 微软的EBS已经停产,如果你购买了它,你可以在2010年6月30日到2010年12月31日之间免费获得这些组件。 hp tp://www.microsoft.com/ebs/en/us/offers.aspx
系统时间更改时,我已将审核规则设置为日志logging 但是,我们的服务器是虚拟机,因此有时间漂stream的问题。 我们需要解决这个问题,所以我们使用VMware工具来定期同步时间。 我现在的问题是,我的审计日志被这样的时间变化条目淹没了: Jun 1 15:08:39 ***** audispd: node=****** type=SYSCALL msg=audit(1338559719.053:344291): arch=c000003e syscall=159 success=yes exit=5 a0=7ffff2084050 a1=0 a2=144b a3=485449575f4c4c55 items=0 ppid=1 pid=1348 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="vmtoolsd" exe="/usr/lib/vmware-tools/bin64/appLoader" key="time_change" 我如何从审计中排除这个vmware工具,但仍然捕获用户更改时间? 这是我目前的审计规则来捕捉时间的变化: -a always,exit -F arch=b32 -S adjtimex -S settimeofday -k time_change -a always,exit -F arch=b32 -S clock_settime […]
我有一个像素515e运行像素6.3瓦/ 64MB RAM,3个以太网接口,只有2使用中。 我使用它作为约100台设备的互联网网关,每天约6 Mbps(兆比特每秒)的入站峰值,约为出站值的10%-20%。 这很好,没有问题。 我们不使用任何VPNfunction。 虽然PIX不知道/关心这个大多数客户端是无线的。 我们有合规/政策问题,所以我们要强制用户在使用互联网之前进行身份validation,并补充详细的日志。 我build议用另一种产品replacePIX; 我的build议(Windows +未命名的门户软件)失败了,所以我们又回到了使用一直工作得很好的PIX。 所以我烧了一些我的预算,但是我需要想出一个解决scheme,最好是使用我的。 我的理解是,PIX实际上可以对用户进行身份validation和审计访问。 我真的不需要详细的URL日志,我真正需要的是准确的date和时间,用户名,MAC地址,本地IP地址,本地端口(翻译+未翻译),远程IP,远程端口和八位字节计数 我相信我有一个处理伐木,所以我的问题是 1)在允许访问互联网之前,这个PIX是否需要authentication? 我的意思是所有的互联网接入(游戏,telnet,…),不只是HTTP。 任何指导,使这项工作? 注意:我无法控制我的用户设备,我可以拒绝他们访问(原因),但我无法在他们的计算机上安装软件。 2)现在任何支持互联网的设备(PC,Mac,iphone,android)都可以访问互联网。 我想确保它们继续工作,那么这些改变是否足以与这些现有设备一起工作呢? 3)如果我继续下去,这个pix会不堪重负(CPU /内存)? 在高峰时段,我看到了每秒800多个数据包。 4)如果这是一个坏主意,请提供build议 注意我不想讨论这个政策。 如果用户想要超出他们同意的政策,我真的不在乎,但他们需要使用/购买自己的3G服务进行这样的活动,并留在(W)局域网。
这可能是重复的,因为我正在钓鱼的信息,因为我不是在窗户上login。 我知道在Unix上,你可以通过中继和RFC 5424发布系统日志。我也知道你转发Windows事件日志的事件订阅在一个域中。 但以下面的产品为例。 Microsoft Biztalk,Microft Exchange,Microsft主机集成服务器,Sql Server,IIS和MS Forefront。 他们都logging下来,但我对审计信息更感兴趣。 我想问的是,每个微软产品都logging到事件日志中,还是可以设置为这样做。 关于这个最好的做法是 鲍勃。
我想build立一个中央日志服务器。 日志服务器在debian 6.0.6下运行,审计守护进程在1.7.13-1版本中安装。 客户端使用Red Hat 5.5运行,并通过audispd连接到日志服务器。 连接工作正常,我得到每个节点的所有消息。 我的问题是:日志服务器的auditd守护进程是否有可能将来自每个节点的消息写入单独的文件? 我尝试通过syslog守护进程传输消息,这工作,但我不能使用像ausearch这样的工具来分析这些日志文件。