Форум администраторов Windows

Серверные системы Microsoft => Windows Server 2012 => Тема начата: design.institute от 29 Июнь 2017, 13:59:56

Название: Аудит файлового сервера Windows
Отправлено: design.institute от 29 Июнь 2017, 13:59:56
Добрый день!
У нас настроен файловый сервер на Windows 2012 Datacenter. Необходимо вести аудит по доступу к файлам. Знать кто удалил, если пропадет файл или обнаруживать факт массового копирования всей документации. Пробовал воспользоваться статьей на хабре https://habrahabr.ru/post/150149/, но Get-WinEvent работает медленно, даже если уберу все фильтры ( Get-WinEvent -FilterHashtable @{LogName="Security";ID=4663;StartTime=$Time}). Количество событий, которое генерируется в логе больше 1 млн. за рабочий день. Есть ли возможности как-то ускороить процесс или отфильтровать событий, т.к. много событий доступа к папкам, а не файлам? Или есть ли альтернативные средства для такой задачи?
Название: Re: Аудит файлового сервера Windows
Отправлено: sergikotikov от 25 Январь 2018, 17:40:10
 ??? Жесть. Сделайте все проще GPO+ACL
Название: Re: Аудит файлового сервера Windows
Отправлено: Alex86m6 от 02 Апрель 2018, 15:02:07
??? Жесть. Сделайте все проще GPO+ACL

А чуть "разжевать" не сложно будет?
Название: Re: Аудит файлового сервера Windows
Отправлено: sergikotikov от 03 Апрель 2018, 12:23:05
Политику аудита создаете, распространяете на файловые сервера, потом просто во вкладке аудита добавите пользователей и событие которое пишется в журнал.  :)
Название: Re: Аудит файлового сервера Windows
Отправлено: Alex86m6 от 03 Апрель 2018, 12:29:33
Спасибо. Попробую
Название: Re: Аудит файлового сервера Windows
Отправлено: sergikotikov от 03 Апрель 2018, 12:40:19
 :) Главное не ставить много галочек, а то журнал безопасности распухнет  ;) У вас все получится, удачи.
Название: Re: Аудит файлового сервера Windows
Отправлено: Alex86m6 от 03 Апрель 2018, 13:04:30
:) Главное не ставить много галочек, а то журнал безопасности распухнет  ;) У вас все получится, удачи.

Эт, точно! (с) тов. Сухов.