在其中一个DC安全日志中获取大量这些内容: *事件types:失败审计 事件来源:安全 事件类别:目录服务访问 事件ID:566 date:27/01/2010 时间:10:12:41 用户:Domain \ Exchangeserver $ 计算机:DC 描述: 对象操作:对象服务器:DS 操作types:对象访问 对象types:容器 对象名称:CN =删除的对象,CN =configuration,DC =域,DC =本地 手柄ID: – 主要用户名称:DC $ 主要域:域 主loginID:(0x0,0x3E7) 客户端用户名:Exchangeserver $ 客户端域:域 客户端loginID:(0x0,0x55A0BA34) 访问:读取属性 属性: 默认属性集 uSNChanged 公共信息 对象类 容器 附加信息: 附加信息2: 访问掩码:0x10 * 唯一我注意到的是有一些简单的SID显示在邮箱权限(ADUC)为我们的一些用户,我只能假设是老用户账户,现在已经被删除(Sid给用户不会解决)。 不确定是否相关。 有任何想法吗? 谢谢
我有一个客户端使用SharePoint 2007(MOSS),想跟踪访问文档库的内容; 主要是改变(添加/删除/更改文件),但读取访问也将是很好的跟踪。 我们启用了Sharepoint审计日志logging,并尝试了一个名为Logbinder的程序,它获取信息,但不是我们所需要的; 它将审计信息放到Windows日志中,而不是放入报告中(如果从日志中导出所有的信息,它会将所有的信息都封装在一个字段中),并且需要很多pipe理员权限,需要网站pipe理员权限,何时只需要读取数据库) 我们如何才能获得有关谁将SharePoint文档库的内容更改为SharePoint的报告?
我需要一些软件来查看整个操作系统(即/ etc)中的自定义目录,并提醒我是否有人在里面编辑文件。 此外,此工具必须自动提交并将更改推送到备份服务器,以便我可以轻松确定何时对特定文件进行了特定更改。 我现在正在使用cvsbackup,但我想创build或发现更现代的东西。 我认为使用git作为VCS是一个好主意。 我可以有本地存储库,并轻松地恢复我的configuration文件的变化。 此外,将更改推送到远程存储库将帮助我在服务器故障时恢复configuration文件。 在git上写一些封装并不难,但是存在很多问题。 例如,我需要跟踪自定义目录: /usr/local/nginx/和/etc/ 。 所以我的git仓库的目标点是/ 。 我不需要跟踪其他目录,所以我必须写出压倒性的.gitignore规则: * !.gitignore !/etc/ !etc/* !/usr /usr/* !/usr/local /usr/local/* !/usr/local/nginx !/usr/local/nginx/* 这是非常艰巨的,容易出错。 所以创build包装器读取并转换为.gitignore格式的中间文件也许是个好主意。 此外,我不想让我的.git文件夹保存在/分区,所以我需要为git设置适当的GIT_DIR和GIT_WORK_TREEvariables。 有没有准备好使用工具来实现这个任务? 我找不到,但我不相信没有人需要这个function。
我为用户分配了“用户安全”configuration文件,以便他们可以重置用户密码并解锁帐户。 当用户执行pfexec时,Solaris是否保存logging? 我在/var/adm/messages没有看到任何logging。 我在审计日志中没有看到使用praudit <audit_log_file> | grep pfexec praudit <audit_log_file> | grep pfexec 。
我想追踪某些文件服务器上的文件和文件夹的创build/删除/移动等事件。 这应该只基于某些文件夹(跟踪文件夹x和别的什么)。 这是一个Windows Server环境。 这是我到目前为止所做的: 打开高级审核策略 – 审核文件系统 – 成功。 对感兴趣的文件夹启用审计 它的工作原理,但是你面对大量的无休止的日志条目,其中大部分是无用的。 我甚至只是将安全日志过滤为某些事件ID(4656,4659,4660,4663),但仍然是一团糟。 对于像4663这样的特定ID,您还需要知道触发哪个访问掩码才能使其具有某种意义。 我需要的是某种日常生成的pipe理摘要,最好是HTML。 一个应该能够看到哪些文件和文件夹被创build/删除或移动,没有别的。 看起来像这正是我正在寻找 – > 链接 。 不幸的是脚本开始运行,然后永远挂起。 无法得到它在Server 2008 R2的工作,我的Powershell技能弱,debugging这一点。 我想要监视的文件夹由<80.000个文件和<10.000个文件夹组成。 我有什么select? 你会去审计政策路线还是有更好的select? 如果我能使它与标准工具一起工作,那将是很好的。 我如何汇总和过滤日志以生成清晰且人性化的输出? TL; DR 寻找一个可怜的人SIEM生成谁创build/删除/移动特定文件共享的文件和文件夹的每日报告。 编辑 sorting一些东西,并得到脚本运行。 这很慢(大约需要20分钟才能检查〜100,000条logging),但工作正常。 所以我现在正在使用这个。 如果有人有更快或更优雅的解决scheme,我想听听。
有没有办法在AD中运行查询来检查用户最近login了哪些PC。 迈克
我对networking范围的审计信息感兴趣,并在一些build议后: 操作系统(主要是Windows;理想的服务器和工作站) 应用程序(用于许可跟踪) 等等 乐于考虑免费和商业(尽pipe这里免费),甚至外包作为服务。 任何爱? 避免? 一个相当宽的networking,所以它必须集中使用; 用记忆棒走动是不可取的。 这是一个AD域,所以基于GP(etc)的选项应该可以。
我有一个SBS 08,在我的域名上有50个用户。 在事件查看器:Windows日志>安全性,我已经有近300,000 EventID 4624login,4634注销,4776凭证validation,4769 Kerberos服务票务操作只有… 2天! 我想简单地禁用它。 我尝试禁用本地策略或组策略中的审核,但一切都灰显:安全设置>本地策略>审核策略>审核login事件:无审核
我将下面这行添加到我的bash_profile文件来logging我所有的活动。 script ~/mylog_$(date '+%Y%m%d%H%M').log 如果我有100个用户,我不能修改上面提到的更改的所有用户帐户。 有没有什么办法Linux(centos)会自动做到这一点? 我试了审核deamon: /etc/init.d/auditd start /etc/init.d/psacct start 但是没有一个可以通过编辑bash_profile文件来完成。
我需要为Windows 7-10工作站实施文件/文件夹审核,以便Domain Admins成员(读取,写入/修改,创build,删除)的所有访问都被logging下来。 我已经在组策略中启用了“审计对象访问”并且有效(rsop.msc): 然后,我为testing文件夹设置审核属性: 用鼠标右键单击文件夹>属性>安全>高级>审核选项卡>单击继续>添加>域pipe理员>全部检查成功和失败: 我在安全事件日志中看到了一些条目,用于设置上述审计属性(例如,“对象的审计设置已更改”),但是当我修改或删除该文件夹中的文件时,安全login。 我也尝试在审计设置中使用“Everyone”而不是“Domain Admins”,但这没有什么区别。 上述testing是在Windows 7 Pro x64 SP1 w / all更新。 我错过了什么? 我怎样才能让审计工作按照要求工作? – 更新1 — 我刚刚testing了Windows 7和Windows 10机器,这些机器不是AD域的成员, 它的function就像一个魅力! 就好像“审计对象访问”不起作用(即使它在rsop.msc和“gpresult / z”中显示为“成功,失败”)。 在GPO中是否还有其他需要处理的事情,或者是什么原因导致不能生效?