É possível registrar eventos do sistema de arquivos no Windows ou no Linux? [duplicado]

0

É possível registrar eventos do sistema de arquivos, como cópia, modificação, exclusão e criação de arquivos e pastas em uma estação de trabalho? Eu uso principalmente o Windows, mas gostaria de saber se isso é possível no Linux também. Se tal funcionalidade não estiver embutida, existe um produto comercial que possa oferecer essa funcionalidade?

Isso é o que eu gostaria que o arquivo de log incluísse.

Date         Time    User      Action   Type    Source                   Destination
2013-03-12   15:10   Austin    Copy     File    K:\Alabama\Mobile.txt    L:\Mobile.txt
2013-04-15   09:12   Bradley   Create   Folder                           C:\Chicago
2013-04-23   13:45   Cedric    Delete   Folder  G:\Colorado
2013-05-04   16:03   David     Modify   File    D:\Florida\Miami.txt

Pode não parecer exatamente assim, mas algo semelhante. Gostaria de saber quem fez o quê, a que horas, onde e para qual pasta ou arquivo. Este é um log aparentemente muito simples, mas seria muito útil.

Atualizar

A solução sugerida na pergunta vinculada acima diz que é necessário usar Diretiva de Grupo no Console de Gerenciamento Microsoft para ativar a auditoria de objetos e, em seguida, Visualizar Eventos para ver os registros.

Ativei a auditoria do meu próprio nome de usuário na pasta Desktop e tentei criar um arquivo de texto. Dentro do mesmo segundo em que o arquivo foi criado, 39 novos eventos foram produzidos no log! Eu olhei para o relógio quando eu criei o arquivo e, em seguida, filtrou o log para eventos criados exatamente naquele segundo. Eu então tive que olhar através deles um por um para encontrar o evento que claramente indica o caminho e o nome do arquivo.

Quando eu tentei apagar o arquivo (permanente, não reciclando para bin), naquele mesmo segundo 210 eventos foram registrados. Quem diabos quer passar por todos os eventos para encontrar o caminho certo? Para encontrar o evento exato, eu teria que saber de antemão que um certo even ocorreu. O que torna todo o propósito deste inútil. E eu precisaria saber algo sobre o mesmo, ou seja, o nome do arquivo criado ou algo assim e tentar filtrar isso. Existem 28000 eventos armazenados no log de segurança .

Por esse motivo, não acho que essa seja a solução para o problema. Bem, não é inteligente de qualquer maneira. Seria muito mais fácil usar uma ferramenta dedicada para isso. O log de segurança do Windows registra todos os tipos de eventos relacionados à segurança que são completamente desinteressantes para mim.

    
por Samir 20.06.2013 / 22:43

1 resposta

4

Parece um trabalho para Process Monitor no Windows e inotifywait no Linux

Exemplos:

Aqui está uma captura de tela do Process Monitor em ação

E aqui está inotifywait observando as alterações em um subdiretório específico:

$ inotifywait -m /tmp/stuffthings/
Setting up watches.  
Watches established.
/tmp/stuffthings/ OPEN,ISDIR 
/tmp/stuffthings/ CLOSE_NOWRITE,CLOSE,ISDIR 
/tmp/stuffthings/ CREATE file.txt
/tmp/stuffthings/ OPEN file.txt
/tmp/stuffthings/ MODIFY file.txt
/tmp/stuffthings/ CLOSE_WRITE,CLOSE file.txt

Você pode instalar o inotifywait e programas relacionados no Ubuntu da seguinte forma:

sudo apt-get install inotify-tools
    
por 20.06.2013 / 22:57