Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Auditoría de Objetos - evento que audite cambios en directorios

21/07/2006 - 22:06 por Pablo | Informe spam
Ayuda Hacer una pregunta
Buenas tardes,
Necesito investigar unos cambios que se están produciendo a diario en un
File Server.
El problema puntual es que tenemos un directorio al que solo tienen acceso
un grupo de personas, esta carpeta está siendo borrada varias veces en los
últimos días y ninguno de los que tiene permiso se hace cargo del hecho.
Hay algún evento que me indique quien realiza cambios sobre este directorio?
el File Server es un W2003.
Por el momento no quiero quitarles el permiso de borrar el directorio,
porque me interesa antes saber quien es el gracioso que lo está haciendo.
Saludos
Y gracias
email Siga el debateRespuesta 3 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#1 Gustavo Vargas
21/07/2006 - 22:25 | Informe spam
En el servidor donde se encuentra la carpeta, selecciónala > properties >
Security > Advanced > Auditing > Ahí seleccionas a los usuarios y acciones
que deseas auditar.

Debes de tener activa la auditoría en las políticas locales de la maquina.
El evento debe de aparecer en el log de seguridad del servidor donde se
encuentra la carpeta.

Saludos.



"Pablo" escribió en el mensaje
news:%
Buenas tardes,
Necesito investigar unos cambios que se están produciendo a diario en un
File Server.
El problema puntual es que tenemos un directorio al que solo tienen acceso
un grupo de personas, esta carpeta está siendo borrada varias veces en los
últimos días y ninguno de los que tiene permiso se hace cargo del hecho.
Hay algún evento que me indique quien realiza cambios sobre este
directorio? el File Server es un W2003.
Por el momento no quiero quitarles el permiso de borrar el directorio,
porque me interesa antes saber quien es el gracioso que lo está haciendo.
Saludos
Y gracias



Respuesta Responder a este mensaje
#2 Pablo
21/07/2006 - 22:36 | Informe spam
Gustavo, gracias por la respuesta.
Mi problema puntualmente es que no encuentro el evento que me indique el
cambio.
La auditoría está activada.
Tenés idea que id de evento debo buscar?

Saludos

"Gustavo Vargas" wrote in message
news:
En el servidor donde se encuentra la carpeta, selecciónala > properties >
Security > Advanced > Auditing > Ahí seleccionas a los usuarios y acciones
que deseas auditar.

Debes de tener activa la auditoría en las políticas locales de la maquina.
El evento debe de aparecer en el log de seguridad del servidor donde se
encuentra la carpeta.

Saludos.



"Pablo" escribió en el mensaje
news:%
Buenas tardes,
Necesito investigar unos cambios que se están produciendo a diario en un
File Server.
El problema puntual es que tenemos un directorio al que solo tienen
acceso un grupo de personas, esta carpeta está siendo borrada varias
veces en los últimos días y ninguno de los que tiene permiso se hace
cargo del hecho.
Hay algún evento que me indique quien realiza cambios sobre este
directorio? el File Server es un W2003.
Por el momento no quiero quitarles el permiso de borrar el directorio,
porque me interesa antes saber quien es el gracioso que lo está haciendo.
Saludos
Y gracias







Respuesta Responder a este mensaje
#3 Gustavo Vargas
24/07/2006 - 18:33 | Informe spam
El evento que se genera es el 560 en el log de seguridad.

Deberias de ver algo así.

Object Open:

Object Server: Security
Object Type: File
Object Name:Archivo o Carpeta Borrado
New Handle ID: XXX
Operation ID: {X,XXXXXXX}
Process ID: X
Primary User Name: Maquina
Primary Domain: Dominio
Primary Logon ID: (XxX,XxXXX)
Client User Name: Usuario
Client Domain: Dominio
Client Logon ID: (XxX,XxXXXXXX)
Accesses DELETE
Privileges -


Saludos.


"Pablo" escribió en el mensaje
news:
Gustavo, gracias por la respuesta.
Mi problema puntualmente es que no encuentro el evento que me indique el
cambio.
La auditoría está activada.
Tenés idea que id de evento debo buscar?

Saludos

"Gustavo Vargas" wrote in message
news:
En el servidor donde se encuentra la carpeta, selecciónala > properties >
Security > Advanced > Auditing > Ahí seleccionas a los usuarios y
acciones que deseas auditar.

Debes de tener activa la auditoría en las políticas locales de la
maquina. El evento debe de aparecer en el log de seguridad del servidor
donde se encuentra la carpeta.

Saludos.



"Pablo" escribió en el mensaje
news:%
Buenas tardes,
Necesito investigar unos cambios que se están produciendo a diario en un
File Server.
El problema puntual es que tenemos un directorio al que solo tienen
acceso un grupo de personas, esta carpeta está siendo borrada varias
veces en los últimos días y ninguno de los que tiene permiso se hace
cargo del hecho.
Hay algún evento que me indique quien realiza cambios sobre este
directorio? el File Server es un W2003.
Por el momento no quiero quitarles el permiso de borrar el directorio,
porque me interesa antes saber quien es el gracioso que lo está
haciendo.
Saludos
Y gracias











email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida