iT邦幫忙

0

server文件的管理

japues 2009-02-13 08:59:0611962 瀏覽
  • 分享至 

  • xImage

最近常發現server上共用資料匣被刪除,有沒有辦法可以查是誰刪的,有沒有什麼軟體可以管控和記錄每一筆server上檔案的編輯,因人在人陸,系統是win2003server簡體版的

看更多先前的討論...收起先前的討論...
tom6507 iT邦大師 1 級 ‧ 2009-02-13 10:43:38 檢舉
fishk iT邦大師 1 級 ‧ 2009-02-13 11:28:27 檢舉
要選擇稽核物件存取

稽核物件存取設定會決定是否要稽核有指定 SACL 之使用者存取物件 (例如,檔案、資料夾、登錄機碼、印表機等等) 的事件。若您定義此原則設定,則可指定是否要稽核成功、稽核失敗,或完全不稽核事件類型。當使用者存取一個有定義 SACL 的物件成功時,成功稽核會產生一個稽核項目。當使用者存取有指定 SACL 的物件失敗時,失敗稽核會產生一個稽核項目;在系統正常運作期間,發生一些失敗事件是可預期的。例如,許多應用程式 (如 Microsoft Word) 總是會嘗試以具有讀寫權限的方式開啟檔案;如果應用程式無法這樣做,它們便會試著以唯讀方式開啟檔案。發生這種情形時,如果已啟用失敗稽核及該檔案上適當的 SACL,那麼失敗事件將會被記錄下來。

在啟用物件存取稽核及設定物件的 SACL 時,企業系統的安全性記錄檔中會產生大量的項目;因此真的需要使用所記錄的資訊時,才應該啟用這些設定。
tom6507 iT邦大師 1 級 ‧ 2009-02-13 12:36:27 檢舉
偷偷改圖 :P
fishk iT邦大師 1 級 ‧ 2009-02-13 13:22:21 檢舉
very good!!
japues iT邦高手 2 級 ‧ 2009-02-14 08:40:05 檢舉
了解,但他記錄為成功時會有內容顯示功成的內容是什麼嗎,目前看到的都是登入成功,沒有看到是新增刪除還是修改,且看來如果開啟還要擔心記錄檔過多要定時清理
fishk iT邦大師 1 級 ‧ 2009-02-18 12:13:32 檢舉
針對需要監控的目錄再設定監控的項目就好了, 否則真的會產生很多log.
fishk iT邦大師 1 級 ‧ 2009-02-23 10:23:28 檢舉
這一題的最佳解答也要算 tom6507大 一份才對, IT邦大神可幫忙嗎 ^_^
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
54
fishk
iT邦大師 1 級 ‧ 2009-02-13 09:59:21
最佳解答

在File Server要監控的檔案或目錄,啟用Audit Log,把你要監控的動作打開, 就可以LOG下來了。
log可以從Event Viewer的Security Log中查到。

看更多先前的回應...收起先前的回應...
japues iT邦高手 2 級 ‧ 2009-02-13 10:03:11 檢舉

@@有沒有中文說明ㄚ,我我查看log但只有何時那台pc登入server但無法查詢到他進入那個資料匣和作了什麼事

fishk iT邦大師 1 級 ‧ 2009-02-13 10:12:54 檢舉

要查之前Object access的audit policy要先啟動,在下列位置
Under Group Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy
然後在要監控的檔案或目錄,針對你希望的audit的功能,啟用Audit Log,如Delete...等

先前在還沒有設定前,在Security Log中是無法查到的。
所以你只能先設定後,再看看以後可不可以追查到。

詳細說明可參考
http://windows.stanford.edu/docs/security2000.html#audit

tom6507 iT邦大師 1 級 ‧ 2009-02-13 10:43:10 檢舉

中文圖片祥解:http://www.ithome.com.tw/plog/resserver.php?blogId=1359&resource=2009-02-13_104449.jpg&mode=medium

tom6507 iT邦大師 1 級 ‧ 2009-02-13 10:44:07 檢舉

我也順便貼在討論區了

fishk iT邦大師 1 級 ‧ 2009-02-13 11:29:32 檢舉

Object access的中文是[稽核物件存取],記得要選對喔!

msit iT邦高手 1 級 ‧ 2009-02-13 13:58:23 檢舉

往者已矣,但是未來建議向fishk大說的,把稽核物件存取打開喔,好像在原則設定的某一項中。

japues iT邦高手 2 級 ‧ 2009-02-16 08:57:19 檢舉

是可以看的到稽核成功,但是被新增修改刪除看不到

fishk iT邦大師 1 級 ‧ 2009-02-17 09:54:55 檢舉

新增修改刪除要在想要監控的檔案或目錄上按右鍵設定.

tom6507 iT邦大師 1 級 ‧ 2009-02-17 10:00:29 檢舉

fishk大的意思是說:分享目錄的同時,可以在"進階"的"稽核"頁籤中設定

fishk iT邦大師 1 級 ‧ 2009-02-17 14:01:22 檢舉

因為我現在沒有Server可以試, 所以無法精確用語, 謝謝tom6507大的補充 ^_^

tom6507 iT邦大師 1 級 ‧ 2009-02-17 14:13:14 檢舉

舉手之勞,不用客氣啦

japues iT邦高手 2 級 ‧ 2009-02-20 11:17:12 檢舉

只能用在檔案上嗎,能不能直接對檔案匣設定,因檔案太多無法一一設定,且使用者太多

tom6507 iT邦大師 1 級 ‧ 2009-02-20 13:45:30 檢舉

可以用在目錄上阿

japues iT邦高手 2 級 ‧ 2009-02-20 16:20:01 檢舉

有圖解嗎?真的看不太懂

tom6507 iT邦大師 1 級 ‧ 2009-02-20 16:44:59 檢舉

在你共用某個目錄的時候,一般都會設定哪些人可以存取這個目錄,設定完之後,請繼續點選"進階"的按鈕,然後選擇"稽核"頁簽,去裡面新增剛剛你設定的存取權限的帳號,並設定要稽核的項目就好了。

24
john651216
iT邦研究生 1 級 ‧ 2009-02-13 09:18:24

刪除就沒有辦法,你應該要作備分這樣就可以免除這一類問題

japues iT邦高手 2 級 ‧ 2009-02-13 09:45:58 檢舉

每天都有備份,我的問題是有沒有方法可查是誰刪除的

22
careychen
iT邦研究生 5 級 ‧ 2009-02-13 09:41:21

這個 Server 可以被人動到,那這通常是用 administrator 進來的吧...? 應該不會有人要去刪去資料夾還用自己的帳號... 如果 Server 是你自己管的,那倒建議你可以先變更 Administrator 的密碼~~!

28
kaoc
iT邦新手 1 級 ‧ 2009-02-13 10:11:23

有幾種方式:

  1. 啟用 Audit 功能
  2. 安裝文件管理軟體, 這樣子還可以把檔案加密
  3. 架設KM系統, 同樣可以做到檔案分享、群組討論,還可以做績效管理

我要發表回答

立即登入回答