Monitorando as alterações do arquivo no Windows Server

2

Após muitos incidentes de exclusão / corrupção de arquivos muito importantes, decidi ativar a auditoria para registrar todas as alterações feitas nos arquivos e quem acessou exatamente os arquivos, e quais ações ele fez.

Estou usando o Windows Server 2012 R2, fiz algumas pesquisas para descobrir como monitorar as alterações feitas nos arquivos e fiz o seguinte:

  1. Ativando a Auditoria na guia Segurança das propriedades da pasta compartilhada.
  2. Defina o limite do log de "Segurança" para 10 GB e o arquivamento ativado quando estiver cheio.
  3. Após 1 ano, acabei com 10 arquivos de logs com 100 GB.
  4. Quando outra exclusão ocorreu, tive que abrir cada arquivo e filtrar os IDs 4663,4624,5140 e 4660. Os arquivos não carregariam o consumo de muita RAM
  5. testei em arquivos pequenos, não era prático filtrar, pesquisar e navegar
  6. usei o Log Parser 2.2 para converter em CSV, mas não havia colunas para os detalhes dos eventos e a coluna "Descrição" mostrava "A descrição da ID de evento 4624 na origem" Microsoft-Windows-Security-Auditing "não foi encontrada. O computador local pode não ter as informações de registro necessárias ou arquivos DLL de mensagem para exibir mensagens de um computador remoto "

Minhas perguntas são:

  • Existe uma maneira de arquivar apenas IDs de eventos específicos?
  • Posso arquivar / converter em CSV? Mantendo todos os detalhes dos eventos / Ou qualquer outro formato / visualizador que seja mais prático, preferencialmente de código aberto?
  • Os IDs 4663,4624,5140 e 4660 são realmente precisos para excluídos? arquivos?
  • Existe um guia / manual para interpretar eventos registrados em relação a esse propósito específico?
por Karim Z. 15.04.2018 / 13:54

1 resposta

1

Id do evento 4659: Um identificador para um objeto foi solicitado com a intenção de excluir.

Filtros de exemplo:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4659)]] and *[EventData[Data[@Name='ObjectName']='C:\SomeDirectory\DeletedFileName.ext']]</Select>
  </Query>
</QueryList>


<QueryList>
  <Query Id="0" Path="file://C:\SomeDirectory\Security.evtx">
    <Select Path="file://C:\SomeDirectory\Security.evtx">*[System[(EventID=4659)]]  and *[EventData[Data[@Name='ObjectName']='C:\SomeDirectory\DeletedFileName.ext']]</Select>
  </Query>
</QueryList>

Are the IDs 4663,4624,5140, and 4660 really accurate for deleted files?

Não.

4624: uma conta foi registrada com sucesso no
5140: um objeto de compartilhamento de rede foi acessado
4660: não contém o nome do objeto excluído
4663: Funciona para exclusões locais

Exemplo do PowerShell:

Get-WinEvent -ComputerName CONTOSOFP1 -LogName Security -FilterXPath "*[System[(EventID=4659)]] and *[EventData[Data[@Name='ObjectName']='C:\SomeDirectory\DeletedFileName.ext']]" | Format-List -Property *  

Get-WinEvent -Path C:\SomeDirectory\Security.evtx -FilterXPath "*[System[(EventID=4659)]] and *[EventData[Data[@Name='ObjectName']='C:\SomeDirectory\DeletedFileName.ext']]" | Format-List -Property *   

link

    
por 15.04.2018 / 17:45