audit

Active Directory、Web Apps 和 MS-SQL 是否都应该具有相同的用户?
audit

Active Directory、Web Apps 和 MS-SQL 是否都应该具有相同的用户?

出于合规性原因,我正在寻找一种干净的方法在 MS SQL Server 中进行审计跟踪,最好完全在数据库端进行,而不涉及 Web 应用程序。 当谈到审计线索时,我指的是数据层面上对数据库更改的完整记录。那么,谁在何时更改了什么? 我有一个以活动目录作为身份验证后端的设置,并且我需要开发一个基于 Java 的 Web 应用程序。 因此,为了获得有效的审计线索,我需要了解谁在何时更改了什么。据我所知,有一项名为 SQL Server Audit 的功能可以提供这些信息。 我的问题是关于 MS SQL 方面的用户管理和身份验证。Web 应用程序应使用 AD...

Admin

寻找可以跟踪整个 *nix 操作系统中系统文件变化的 VCS 包装器,并通过电子邮件发送差异
audit

寻找可以跟踪整个 *nix 操作系统中系统文件变化的 VCS 包装器,并通过电子邮件发送差异

我需要一些软件来管理整个操作系统中的自定义目录(即 /etc),并在有人编辑其中的某个文件时提醒我。此外,此工具必须自动提交并将更改推送到备份服务器,这样我就可以轻松确定特定文件中的特定更改是在何时进行的。我正在使用备份但我想创造或找到一些更现代的东西。 我认为使用 git 作为 VCS 是个好主意。我可以拥有本地存储库并轻松恢复配置文件中的更改。此外,将更改推送到远程存储库将有助于我在服务器出现故障时恢复配置文件。 编写一些 git 包装器似乎并不困难,但存在很多问题。例如,我需要跟踪自定义目录:/usr/local/nginx/和/etc/。因此,我...

Admin

如何使用 Powershell 对 TrustedInstaller 拥有的文件设置审计控制?
audit

如何使用 Powershell 对 TrustedInstaller 拥有的文件设置审计控制?

我正在尝试使用以下 Powershell 脚本对ACLsWin.txt位于\%Windows%\System32(例如)中的多个文件(列于)设置审计控制:aaclient.dll $FileList = Get-Content ".\ACLsWin.txt" $ACL = New-Object System.Security.AccessControl.FileSecurity $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone", "D...

Admin

SQL Server Trace 不断输出文件
audit

SQL Server Trace 不断输出文件

一位顾问来过并对我们的 SQL 服务器进行审计,但留下了一些混乱。问题是他做了一些我们不知道的事情。 我们C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA得到了几 GB 的 .trc 文件,它们不断出现并不断增长。 ASELECT * FROM ::fn_trace_getinfo(default) where property = 2返回 2 行: 1 2 \\?\C:\Program Files\Microsoft SQL Server\MSSQL...

Admin

日志审查流程
audit

日志审查流程

目前,我有一个相当大的 syslog-ng 集群设置,这是我的主要日志聚合点。我需要能够确认某些日志并将其标记为审核,以用于审计目的。例如所有失败的 sudo 尝试。我可以轻松地将我感兴趣的日志发送到特定的文件夹、程序或电子邮件,但想知道你们都用什么来进行审计。目前,我将它们发送到 MySQL DB,并在其中显示日志,我可以单击确认并根据需要添加注释。虽然这种方法有效,但我想要一些看起来更专业的东西。我曾考虑将它们绑定到开源票务系统中,并在审核后关闭它们,但想听听其他人的意见。 谢谢, 埃里克 ...

Admin

是否有可能审计 Amazon AWS 控制台?
audit

是否有可能审计 Amazon AWS 控制台?

我们最近遇到过这种情况:分配给生产服务器的弹性 IP 地址神秘地与该服务器断开了关联。我们过去在其他(幸运的是,非生产)服务器上也遇到过同样的事情。控制台中有几位管理员,但没有人承认错误。有没有什么方法可以审计 AWS 控制台活动? ...

Admin

Win 2008r2 审计
audit

Win 2008r2 审计

我正在尝试打开审核,但每次我检查成功和失败时本地策略/计算机配置/Windows 设置/安全设置/本地策略/审核策略/审核对象访问,它会对每个文件/文件夹启用审核。我刚刚对一些文件夹启用了审核...... 有任何想法吗? ...

Admin

退役:如何列出依赖于我的 SQL Server 的客户端/应用程序?
audit

退役:如何列出依赖于我的 SQL Server 的客户端/应用程序?

我有一台 SQL 机器想要停用。在停用之前,我想了解所有可能依赖该机器的应用程序,而不是直接关闭它然后听别人尖叫。 做这个的最好方式是什么? 我知道我可以运行 SQL 跟踪一段时间来获取登录信息等 - 还有其他方法吗? 我想了解尽可能多的有关调用者的信息,包括发出请求的 IP 地址或机器名称、应用程序名称、凭据。我最想知道的是,是否有多个应用程序可能在单个机器上运行,并使用类似的凭据进行调用。我还希望能够知道是否有 2 个以上的应用程序(例如),而不是它们看起来像一个。 如果 SQL Server 本身不能提供此功能,那么还有其他服务器级别的工具可供...

Admin

审计传输信息
audit

审计传输信息

我想知道是否有办法审核用户从文件服务器“传递”到本地环境的文件。 我已启用事件查看器,但我只能看到用户访问或删除了哪个文件,但我们需要知道是否有员工正在将文件传输到他们的本地环境以及他们传输的是哪些文件。 尽管我努力寻找,却还是找不到办法,最后的办法是我来找您,看看您是否能帮助我。 谢谢。 ...

Admin

Splunk Enterprise - 配置以删除特定事件
audit

Splunk Enterprise - 配置以删除特定事件

我有一个简单的 Splunk 设置。大约 120 台左右的 Linux 服务器(基本上都是设备),安装了通用转发器,还有一台运行 Splunk Enterprise 的 Linux 服务器充当索引器、搜索头等。 我遇到的问题是转发器必须将服务器的审计日志输入到 Splunk。该输入实际上工作正常,但它会淹没服务器,导致我超出许可限制。   具体来说,设备应用程序在 cron 中有一个运行频率很高的事件,它用文件访问、文件修改等事件充斥审计日志,这导致我发送给 Splunk Enterprise 的数据量激增。我根本不需要这些数据。 我想做...

Admin

如何在 Windows 7 中启用服务安装事件(事件 ID 4697)?
audit

如何在 Windows 7 中启用服务安装事件(事件 ID 4697)?

在 Windows 10 中,我使用以下命令启用Security System Extension: auditpol /set /subcategory:"Security System Extension" /success:enable /failure:disable 每当添加新服务时,系统都会生成事件 ID 4697,表示“系统中安装了一项服务”。此事件特别有用,因为它包含启动服务创建的客户端进程 ID。 如何在 Windows 7 上激活事件 ID 4697? ...

Admin

如何使用 Azure Log Analytics 发现服务帐户登录时正在执行的操作?
audit

如何使用 Azure Log Analytics 发现服务帐户登录时正在执行的操作?

我已开始在一家使用 Microsoft 365 的公司担任系统管理员。在我开始工作之前,几个具有全局管理员角色的通用帐户被多个人用于执行大多数日常管理工作。没有文档。 我正在尝试整理这些内容,这样我们就不再拥有那么多 GA 帐户,并且可以为具有特定需求的帐户分配更细粒度的角色。团队不再使用这些通用帐户来做事,但必须设置一些具有全局管理员角色的服务帐户来执行计划任务,因为它们仍显示在 SigninLogs 中。 我已遵循 Microsoft 指南,使用以下查询在 Azure Log Analytics 中登录时进行审核: SigninLogs | projec...

Admin

OpenShift 操作审计日志
audit

OpenShift 操作审计日志

今天是个好日子 ! 我正在寻找是否有任何方法可以审核或查看审核日志,以查看特定用户在部署中执行的任何特定操作。 我的目标是查看谁扩大或缩小了特定的部署或 statefulSet,更改了存储大小或设置。 类似这样的事。 谢谢 OpenShift版本:最新4.14 PS:我正在寻找 CLI 示例。甚至不确定 UI 上是否有东西。 ...

Admin

如何创建 GPO 来审核未在 DC 上运行的服务的启动/停止?
audit

如何创建 GPO 来审核未在 DC 上运行的服务的启动/停止?

我正在尝试启用对一组域计算机上的一些特定服务的服务启动/停止事件的审核,并使用组策略进行此更改。 我见过这答案,但是当我在 DC 上按照这些步骤操作时,我只看到 DC 上安装的服务。我的问题是,我正在尝试审核未安装在 DC 上的服务。 如何使用组策略管理编辑器创建连接到域中另一台计算机的 GPO? ...

Admin

如何在 auditd 中将 proctitle 设置为 ascii?
audit

如何在 auditd 中将 proctitle 设置为 ascii?

我配置了 auditd 通过 rsyslog 将日志发送到 SIEM。但是当我获取这些日志时,proctitle 是十六进制的。 前任。: <134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=6E63002D6C766E700032323232 我希望它是这样的: <134>Aug 25 17:08:44 vmauditd tag_audit_log: n...

Admin