Audit sur un domaine et journal d'evenement

Audit sur un domaine et journal d'evenement - Windows & Software

Marsh Posté le 07-03-2006 à 14:39:33    

Hello à tous,
 
Voilà pour des raisons de sécurité j'ai activé l'audit sur certains de nos serveurs afin de savoir un peu mieux qui fait quoi...
 
J'ai activé les succès et echecs sur les suppressions de dossiers, sous dossiers et les fichiers.
Seulement voilà: sachant qu'il y a deux petites centaine d'utilisateurs qui jouent avec les fichiers sur ce serveur, le journal d'évement explose totalement.
 
J'ai augmenté sa taille jusqu'a 25Mo mais ca ne semble pas suffir car en 1/2 journée il est à saturation et les anciens evenements sont supprimés.
 
Comment faite vous pour avoir un minimum d'historique?
 
Vous avec un journal sécurité de 500Mo?
 
Merci :)


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 07-03-2006 à 14:39:33   

Reply

Marsh Posté le 07-03-2006 à 14:40:22    

A part augmenter fortement la taille des journaux de sécurité, pas trop de choix malheureusement.

Reply

Marsh Posté le 07-03-2006 à 14:45:56    

Ok, 500Mo pour le journal sécurité ne posera pas de pb alors?


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 07-03-2006 à 14:56:29    

ça ne pose pas de problème particulier, sauf que même avec 500 Mo tu vas faire vite le tour, ça bouffe un peu de perf à ton serveur ... Et puis surtout avec la masse d'infos c'est intravaillables.
 
Je l'ai mis en place ( audit de suppression uniquement) j'ai aussi un fichier de 25 Mo, et j'ai plus de 45 000 lignes! j'image même pas avec 500 mo de log ... bon courrage !

Reply

Marsh Posté le 07-03-2006 à 14:58:07    

Je ne sais pas. Tu peux toujours tenter de l'augmenter petit à petit...

Reply

Marsh Posté le 07-03-2006 à 15:24:29    

Oui, garder un historique de quelques jours c'est dejà pas mal :)
 
25Mo ca fait 65000 evenements et ca représente même pas une journée.
 
Je viens de le passer à 100Mo :sarcastic: on va voir...
Cela dit chercher dedans c'est pas la joie :/
 
J'ai télécharger logparser mais je ne connais pas encore, vous avez des connaissance là dessus?


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 08-03-2006 à 16:15:49    

100Mo atteind en environ 2 jours.
 
Je vais le mettre à 250Mo histoire d'avoir un semblant d'historique d'une semaine... :/
 
Sinon personne pour logparser? ca a l'air bien puissant mais pas bien intuitif.


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 10-03-2006 à 13:28:28    

Tu es sûr que ces evenements te seront utiles par la suite ?
 
Tu as psevent de www.sysinternals.com qui est pas mal pour filtrer/sauvegarder en ligne de commande aussi.

Message cité 1 fois
Message édité par bigstyle le 10-03-2006 à 13:29:23
Reply

Marsh Posté le 10-03-2006 à 13:38:27    

bigstyle a écrit :

Tu es sûr que ces evenements te seront utiles par la suite ?
 
Tu as psevent de www.sysinternals.com qui est pas mal pour filtrer/sauvegarder en ligne de commande aussi.


 
Nous avons perdu beaucoup de données récemment, sans aucun moyen de savoir QUI les avait supprimer, j'ai mis cela en place pour palier à ca.


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 10-03-2006 à 14:46:59    

Si le serveur est sous 2003 utilise les file shadow copy pour restaurer rapidement les fichiers.
 
Autrement ok je comprends pourquoi tu souhaites mettre en place ton audit dans ce cas ;)
 

Reply

Marsh Posté le 10-03-2006 à 14:46:59   

Reply

Marsh Posté le 10-03-2006 à 15:18:36    

bigstyle a écrit :

Si le serveur est sous 2003 utilise les file shadow copy pour restaurer rapidement les fichiers.
 
Autrement ok je comprends pourquoi tu souhaites mettre en place ton audit dans ce cas ;)


 
Le serveur est sous 2000 :/


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 10-03-2006 à 18:12:30    

Essaie psloglist comme je te l'ai conseillé plus tot il devrait t'être utile dans ton cas : http://www.sysinternals.com/Utilities/PsLogList.html

Reply

Marsh Posté le 14-03-2006 à 11:14:53    

Je suis en cours de test.
 
Par contre moi ce qu'il me faudrait c'est pouvoir filtrer par répertoire... car par utilisateur ca ne m'est pas très utile...


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 14-03-2006 à 11:46:54    

Dans ces cas la, VBS/WMI :D
 
Tu as des scripts tout fait sur le scriptcenter de Microsoft.

Reply

Marsh Posté le 15-03-2006 à 10:55:15    

Huum je suis entrain de chercher mais j'avoue que j'ai du mal à trouver ce que je veux :/


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed