我想跟踪某个文件服务器上文件和文件夹的创建/删除/移动等事件。这应该只基于某些文件夹(跟踪文件夹 x,不跟踪其他内容)。这是一个 Windows Server 环境。
以下是我目前所做的:
- 开启高级审计策略 - 审计文件系统 - 成功。
- 启用对相关文件夹的审核
它确实有效,但你面对的是大量无休止的日志条目,其中大多数都是无用的。我甚至将安全日志过滤为仅包含某些事件 ID(4656、4659、4660、4663)的日志,但仍然一团糟。对于某些 ID(如 4663),你还需要知道触发了哪个访问掩码才能理解它。
我需要的是每日生成管理摘要最好是 HTML 格式。应该能够看到创建/删除或移动了哪些文件和文件夹,而看不到其他内容。
看来这正是我所寻找的 -->关联。不幸的是,脚本开始运行后就永远挂起了。无法让它在 Server 2008 R2 上运行,而且我的 Powershell 技能太弱,无法调试它。我想要监控的文件夹包含 <80.000 个文件和 <10.000 个文件夹。
我有什么选择?你会选择审计策略路线吗?还是有更好的选择?如果我能让它与标准工具一起工作就好了。我如何汇总和过滤日志以生成清晰且人性化的输出?
总结
寻找一个穷人的 SIEM 来生成谁创建/删除/移动了特定文件共享的文件和文件夹的每日报告。
编辑
整理了一些内容并让脚本运行起来。它很慢(检查约 100,000 行日志大约需要 20 分钟),但可以正常工作。所以我暂时使用它。如果有人有更快或更优雅的解决方案,我很想听听。
答案1
您走在正确的轨道上,您需要阅读服务器的安全日志以获取您要查找的事件。获取“计数”或阅读 xml 以进一步挖掘的最佳描述详述如下“https://blogs.technet.microsoft.com/heyscriptingguy/2014/06/04/data-mine-the-windows-event-log-by-using-powershell-and-xml/“
答案2
如果您不是 PowerShell 专家(我也不),那么您可能不太可能在不投入大量时间的情况下使用 PS 脚本获得所需的报告。需要进行大量调整(并首先进行调试以使其工作),才能使其看起来像您想要的那样,然后将其设置为发送电子邮件等。
您最好投资少量资金购买一款可以帮助您实现此目的的软件产品。您提到了“穷人的 SIEM”,请记住并非所有 SIEM 产品都很昂贵。
事件哨兵例如,单个服务器的起价为 85 美元(听起来这就是您所需要的),并且有一个文件访问跟踪组件,可以满足您的需求。它确实依赖于您服务器上已经设置的审计(您已经了解了),但随后会为您提供非常有用的报告 - 以下是一个例子。
使用第三方工具的另一个好处是,您可以轻松安排它,以便通过电子邮件获取它,并且大多数工具也支持多种输出格式,如 PDF。