Я хочу отслеживать такие события, как создание / удаление / перемещение файлов и папок на определенном файловом сервере. Это должно работать только для определенных папок (папка трека x и ничего больше). Это среда Windows Server.
Вот что я сделал до сих пор:
Это работает, но вы сталкиваетесь с огромным количеством бесконечных записей в журнале, большинство из которых бесполезны. Я даже отфильтровал журнал безопасности только по определенным идентификаторам событий (4656, 4659, 4660, 4663), но это все еще беспорядок. Для определенных идентификаторов, таких как 4663, вам также необходимо знать, какая маска доступа была активирована, чтобы придать ей смысл.
Мне нужно что-то вроде сводка управления генерируется ежедневно желательно в HTML. Должна быть возможность видеть, какие файлы и папки были созданы / удалены или перемещены, и ничего больше.
Похоже, это именно то, что я ищу -> ссылка на сайт. К сожалению, скрипт запускается и зависает навсегда. Не удалось заставить его работать на Server 2008 R2, и мои навыки работы с Powershell слишком слабы, чтобы отладить это. Папка, которую я хочу отслеживать, состоит из <80 000 файлов и <10 000 папок.
Какие у меня варианты? Вы бы пошли по пути политики аудита или есть лучшие альтернативы? Было бы неплохо, если бы я смог заставить его работать стандартными инструментами. Как я могу агрегировать и фильтровать журнал для создания четких и удобочитаемых результатов?
TL; DR
Ищу бедного человека SIEM для создания ежедневного отчета о том, кто создавал / удалял / перемещал файлы и папки определенного файлового ресурса.
РЕДАКТИРОВАТЬ
Разобрал кое-что и запустил скрипт. Это медленно (около 20 минут для проверки ~ 100 000 строк журнала), но работает. Так что я использую это на данный момент. Если у кого-то есть более быстрое или элегантное решение, я бы хотел его услышать.
Если вы не являетесь экспертом по PowerShell (и я тоже), то маловероятно, что вы получите отчет, который ищете, с помощью сценария PS, не потратив много времени. Потребуется немало настроек (и отладки, чтобы заставить его работать в первую очередь), чтобы он выглядел так, как вы хотите, а затем настроить его для отправки по электронной почте и т. Д.
Вам, вероятно, лучше инвестировать небольшую сумму в программный продукт, который может вам в этом помочь. Вы упомянули «SIEM для бедняков», помните, что не все продукты SIEM являются дорогими.
EventSentry например, начинается с 85 долларов за один сервер (и похоже, что это все, что вам нужно) и имеет компонент отслеживания доступа к файлам, который делает именно то, что вам нужно. Он действительно полагается на аудит, уже настроенный на вашем сервере (который вы уже охватили), но затем дает вам очень полезные отчеты - вот пример.
Еще одним преимуществом использования стороннего инструмента является то, что вы легко сможете запланировать его, чтобы получить его по электронной почте, и большинство инструментов поддерживают несколько выходных форматов, таких как PDF.
Вы на правильном пути, вам нужно будет прочитать журнал безопасности сервера, чтобы получить события, которые вы ищете. Лучшее описание получения "счетчика" или чтения xml для дальнейшего изучения подробно описано здесь "https://blogs.technet.microsoft.com/heyscriptingguy/2014/06/04/data-mine-the-windows-event-log-by-using-powershell-and-xml/"