Trace log

Salutare la toti forumistii!
Am o mica nelamurire de care sper sa scap cu ajutorul vostru.
Astfel am vrut sa am o evidenta a tot ceea ce fac userii pe un server 2003 cu AD, si cand zic evidenta ma refer la ce si cand au scris, ce au creat, ce, cine si cand a sters ceva, etc.
Pentru acest lucru am creat un trace log in computer management-performance logs and alerts. Asa cum stiti aceste logo-uri se salveaza intr-un format .etl. Dintr-un command prompt cu comanda tracerpt filename.etl transform acest log intr-un csv ce poate fi deschis cun un Notepad. Aici este problema pentru ca in acest csv am ceva de genul:
Event Name,       Type,        TID,           Clock-Time, Kernel(ms),   User(ms), User Data
      Thread,      Start, 0x00000084,   127965829373750000,       1120,          0, 0x00000004, 0x00000790, 0xB7FB3000, 0xB7FB0000, 0x00000000, 0x00000000, 0xF786A005, 0x00000000, "", 0, 0

Ei bine datele astea nu stiu sa le interpretez in sensul din clock-time nu imi dau seama la ce ora din zi a avut loc un eveniment si din user data nu stiu ce user l-a produs.

Am incercat sa deschid acest log si cu LogParser dar nu am reusit pentru ca imi da o eroare.

Ma puteti ajuta in acest sens sau aveti o alta alternativa la ce am facut eu pentru monitorizarea actiunilor care sint produse de useri pe server?

Multumesc!

vezi daca asta ajuta ... e explicat sistemul de tracelog, impreuna cu tool-urile folosite uzual ...

http://www.windowsit...articleid=40707

PS: need to register to get full content!

cam asta te intereseaza pe tine:

Quote

Ca si modalitate de abordare, este destul de stufos ce incerci tu. Mai poti incerca sa configurezi din GPO event-urile care sa fie logate in logul de security ... iti permite o filtrare ulterioara mult mai buna.

ex: enable la Audit Object Access din GPO. Pasul 2 este sa setezi manual la nivel de folder (sau volum) care sunt directoarele (sau volumele) pe care vrei sa le monitorezi. Aditional ai mai multe nivele de filtrare corespunzatoare NTFS (write, read, traverse folder, etc.). Alt avantaj este diferentierea de level of auditing pe baza de user credentials, deci iti permite o politica flexibila de audit.

in mod similar se auditeaza account logon, policy change, process tracking, etc.

Toate informatiile se vor regasi in logul de Security de pe server, intr-un format mai "user-friendly" ... mai departe, ai la dispozitie o gramada de tool-uri care sa parseze logul respectiv, sa-l exporte, etc.

spor

Edited by PreTXT, 06 July 2006 - 10:51.

Intradevar este destul de stufos...nu am stiut in ce ma bag si in bunul spirit romanesc conform caruia nu ne platesc ei suficient de mult pentru cat de putin muncim noi am hotarat sa las balta chestia asta desi eram destul de aproape.  B)
Va multumesc tuturor pentru raspunsuri!

costica, on Jul 6 2006, 10:23, said:

Nu se merita, e o mare pierdere de timp. Nu stiu pe nimeni nici aici prin State, unde Windows Server e king, sa-si piarda timpul cu asa ceva.
Implementati in GPO restrictiile de rigoare si cu asta basta. -_-

Masterboy, on Jul 8 2006, 03:41, said:

no offence, dar am anumite dubii ... intr-un mediu corporate ai nevoie de genul asta de informatii, mai ales in conditiile in care te confrunti la un moment dat cu un security incident.
Abordarea la nivel enteprise este de a implementa restrictiile mentionate dar si de a face un auditing asupra anumitor event-uri, combinat cu o solutie de centralizare loguri, analiza, alertare si raportare, atat la nivel de server individual cat si la nivel de Active Directory.

On top of that, marile corporatii trebuie sa fie in conformitate cu mai multe politici regulatorii (vezi Sarbanes-Hoxley, HIPAA, GLBA, FISMA/NIST,ISO 17799, CoBits, etc.) pentru care aceste practici sunt mandatory.

in concluzie, partea de event auditing nu trebuie sa lipseasca dintr-un mediu corporate, dimpotriva, se investesc sume serioase in software profesional care sa acopere aceasta necesitate.

my 2 cents

Cred ca la nivel corporate cel mai bine e sa folosesti un program profesional. Recomand GFI Event Log Monitor, cred ca pot sa afirm ca este cel mai complet program de pe piata de acest gen. Asta evident daca vrei ceva profesional.Evident sunt destul de subiectiv, in conditiile in care lucrez pentru GFI  ;)

Edited by SE7EN, 08 July 2006 - 10:28.

SE7EN, on Jul 8 2006, 11:05, said:

GFI este un produs f. bun intr-adevar ... alti jucatori pe piata mai sunt cei de la NetIQ, Symantec sau MOM 2005 cu module 3rd party (ECC ECAR, SCMP) care iti dau un avantaj aditional de regulatory compliance analysis.

P.S. Se7en, congrats ;) ... companie buna ... bafta !

Edited by PreTXT, 08 July 2006 - 11:03.