Hello à tous,
 
Voilà pour des raisons de sécurité j'ai activé l'audit sur certains de nos serveurs afin de savoir un peu mieux qui fait quoi...
 
J'ai activé les succès et echecs sur les suppressions de dossiers, sous dossiers et les fichiers.
Seulement voilà: sachant qu'il y a deux petites centaine d'utilisateurs qui jouent avec les fichiers sur ce serveur, le journal d'évement explose totalement.
 
J'ai augmenté sa taille jusqu'a 25Mo mais ca ne semble pas suffir car en 1/2 journée il est à saturation et les anciens evenements sont supprimés.
 
Comment faite vous pour avoir un minimum d'historique?
 
Vous avec un journal sécurité de 500Mo?
 
Merci

A part augmenter fortement la taille des journaux de sécurité, pas trop de choix malheureusement.

Ok, 500Mo pour le journal sécurité ne posera pas de pb alors?

ça ne pose pas de problème particulier, sauf que même avec 500 Mo tu vas faire vite le tour, ça bouffe un peu de perf à ton serveur ... Et puis surtout avec la masse d'infos c'est intravaillables.
 
Je l'ai mis en place ( audit de suppression uniquement) j'ai aussi un fichier de 25 Mo, et j'ai plus de 45 000 lignes! j'image même pas avec 500 mo de log ... bon courrage !

Je ne sais pas. Tu peux toujours tenter de l'augmenter petit à petit...

Oui, garder un historique de quelques jours c'est dejà pas mal
 
25Mo ca fait 65000 evenements et ca représente même pas une journée.
 
Je viens de le passer à 100Mo on va voir...
Cela dit chercher dedans c'est pas la joie
 
J'ai télécharger logparser mais je ne connais pas encore, vous avez des connaissance là dessus?

100Mo atteind en environ 2 jours.
 
Je vais le mettre à 250Mo histoire d'avoir un semblant d'historique d'une semaine...
 
Sinon personne pour logparser? ca a l'air bien puissant mais pas bien intuitif.

Tu es sûr que ces evenements te seront utiles par la suite ?
 
Tu as psevent de www.sysinternals.com qui est pas mal pour filtrer/sauvegarder en ligne de commande aussi.

 
Nous avons perdu beaucoup de données récemment, sans aucun moyen de savoir QUI les avait supprimer, j'ai mis cela en place pour palier à ca.

Si le serveur est sous 2003 utilise les file shadow copy pour restaurer rapidement les fichiers.
 
Autrement ok je comprends pourquoi tu souhaites mettre en place ton audit dans ce cas
 

 
Le serveur est sous 2000

Essaie psloglist comme je te l'ai conseillé plus tot il devrait t'être utile dans ton cas : http://www.sysinternals.com/Utilities/PsLogList.html

Je suis en cours de test.
 
Par contre moi ce qu'il me faudrait c'est pouvoir filtrer par répertoire... car par utilisateur ca ne m'est pas très utile...

Dans ces cas la, VBS/WMI
 
Tu as des scripts tout fait sur le scriptcenter de Microsoft.

Huum je suis entrain de chercher mais j'avoue que j'ai du mal à trouver ce que je veux