我是configuration审计系统的新手。 我有一些任务,如 configure audit system to audit failed attempts to access files and programs. configure audit system to audit files and programs deleted by user… … 我对这些任务很困惑。 任何人都可以提供一些教程或参考链接? 这样我才能清楚地知道什么是审计? 如何configuration审计系统? 非常感谢!
任何人都知道用于测量和绘制基于最终用户Exchange使用情况报告的软件/工具? 用于特定用户的项目将包括: 一天有多less封邮件 该用户的顶部收据列表 KB / MB每天/每周发送 高峰时间的使用 这不是关于反病毒/垃圾邮件,而是基本上希望了解员工如何使用他们的公司电子邮件帐户,而不是直接附在他们的箱子和窥探。 谢谢!
我有一个客户想要我们locking我们用来访问他的数据的Mac笔记本电脑。 他希望对从可移动介质(USB,FireWire,光纤)读取和写入的所有文件进行审计。 我有一个姐姐问题 :find一个商业应用程序,但我开始觉得唯一的乐趣^ H ^ H ^ H适合的解决scheme将是DIY。 Cocoa是否有一个API来审计总线/设备,任何标识符(S / N,vendorID等),文件系统元数据(stat())和块input/输出等。 dtrace做到这一点! 我可以用ZFS重新安装每台笔记本电脑,并通过写入时复制镜像任何外部设备。
我的公司将会为一家小公司(约25名员工)重组/重新思考整个IT基础设施。 其中的一部分是向Google Apps迁移电子邮件,日历等。这使得许多其他事情需要思考(文件共享,业务stream程等)。 有没有什么“最佳实践”的方式来收集用户关于什么是真正的痛点,什么需要改进,更科学的方式而不是简单地询问/猜测的数据? 我正在考虑在一周内为每位员工运行软件使用情况监视器(例如RescueTime)(经过他们的批准)。 如果有机会根据IT基础架构的需要进行多项更改,还有哪些其他的评估用户需求的方法?
开箱即用的新创build的数据库(在SQL Server 2008中)是否保留任何DML审计logging,例如: 用户“乔治”在2011年6月20日的表“阿尔法”做了一个插入 用户'Fred'在2011年6月21日在'Beta'表做了删除 如果是,我如何获取这些信息? 如果没有,最简单的方法是什么(我认为这是审计scheme )。
在Linux( http://www.slashzero.com/2009/11/shell-session-logging/ )中看起来像pam_tty_audit可能是一个很好的方法来帮助找出“发生了什么!” 当一个人扎根。 我说“本来可以”,因为rootkit在做任何事情之前都会清理日志并杀死远程日志logging。 说我知道我的一些OpenVZ容器得到根植,我相信我的OpenVZ硬件根没有。 我可以在OpenVZ硬件节点上的所有容器的TTY上进行审计吗?
我在公司域中有许多服务器似乎随机丢失对TEMP文件夹(c:\ temp,c:\ windows \ temp和环境variables中定义的任何临时文件夹)的ACL权限。 而不是正常的权限(pipe理员完全控制,用户读/写,networking服务读取等) – 该文件夹被重置为Everyone – 读取。 有没有一个工具,可以让我监视有问题的文件夹,看看谁/什么时候进行更改? 我目前正在尝试使用Windows审计系统,但它不是完美的 – 在Windows 2003上,它没有特定的文件夹权限更改事件。 而且无论如何,安全事件日志会被正常login和我们的强化软件的例行扫描极快地填满。 任何想法,我可以看看?
我已经在我的CentOS 6.1服务器上编译了Percona 5.5,并且它开始很好,但是它似乎没有读取我的/etc/my.cnf文件。 # In /etc/my.cnf character_set_server = utf8 collation_server = utf8_general_ci mysql> show variables like 'character_set_server'; +———————-+——–+ | Variable_name | Value | +———————-+——–+ | character_set_server | latin1 | +———————-+——–+ 1 row in set (0.00 sec) 在这里,我期望看到'utf8'的值,而不是latin1。 目前/etc/my.cnf设置为一个符号链接,指向一个当前处于版本控制的my.cnf文件,所以它看起来像: root@host ~/MyFile/Setup # -> ls /etc/my.cnf lrwxrwxrwx. 1 root root 64 Dec 17 19:05 /etc/my.cnf -> /home/src/config/current/sys/etc/mysql/prod/confs-enabled/my.cnf […]
有没有可能在Linux上找出哪些应用程序在过去24小时内访问过某个文件? 我已经提出了一些可能的解决scheme: 观看lsof 。 它的工作原理,但是它被限制在监视的粒度。 inotify听起来不错…但没有提供访问该文件的应用程序的信息。 auditd可能是有用的,但我还没有检查。 我可以通过什么方式查看哪些应用程序在特定时间段内访问了某个文件?
我只编译了pam_tty_audit模块,因为我的Linux发行版不包含它通常的PAM模块。 我在/etc/common-session了configuration行,正如这个问题所build议的那样。 在我的/ var / log / messages中,每当有一些sudo ,crontab或login被执行时, login[18635]: pam_tty_audit(login:session): changed status from 0 to 1 但是,当我在审计守护进程日志上search事件时,我没有得到任何与在该用户会话上执行的命令相关的信息: sudo /sbin/ausearch -ts today —- time->Thu May 30 17:46:52 2013 type=DAEMON_START msg=audit(1369928812.430:3659): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=17873 subj=unconfined res=success —- time->Thu May 30 17:57:01 2013 type=DAEMON_END msg=audit(1369929421.259:3660): auditd normal halt, sending auid=1010 pid=18874 subj= res=success […]