Ищется софт для мониторинга сетевых папок (если что, я не админ, а наши админы говорят что то, что я описал невозможно).

Имеется — не сколько виндовых серверов с кучей расшареных папок(очень много, и файлов в них много).

Требуется выполнять следующее:
1. Фиксировать факт попытки доступа к файлу, папке, если у пользователя не достаточно прав.
2. Сканировать папки и составлять списки ссылок на добавленные файлы/папки (с целью последующего анализа другой софтиной — что добавили. Нет ли там паспортов, сканов кредитных карт, накладных, договоров и.т.д.).

При этом:
1. Админы утверждают, что виндовый аудит включать нельзя т.к. он тут же «засирается» и перестает работать. Если — это можно опровергнуть, дайте пож аргументы.
2. На клиенты ничего ставить нельзя

софт для мониторинга сетевых папок

Tagged with →  

23 Responses to софт для мониторинга сетевых папок

  1. Gibno:

    Imperva File Security, например. Или только швабодка, только хардкор?
    Либо таки включать аудит (пусть админы не гонят пургу и настраивают ротацию) и передавать все логи в какую-нибудь SIEM для анализа. Эти бывают и коммерческие (HP-Arcsight ESM, Splunk, IBM QRadar, Symantec SIM и т.п.) и бесплатные (free-версии платных) и даже опенсорцные (OSSIM, Alien Vault).

  2. RewTunes:

    Аудит включать можно, ничего не засирается если увеличить размер журнала Security и фиксировать только нужные события аудита. Я фиксирую только попытку удаления.
    Админам лень.

  3. RetUnix:

    Чего сразу Имперва-то? КСЗИ «Панцирь»!! Поддержи российского производителя!!11 🙂

  4. Gibno:

    й подобные) не отвечают 2 пункту ТЗ

  5. Gibno:

    эта херня (и все е

  6. RetUnix:

    Оно разве контентный анализ умеет?

  7. TteTunes:

    когда-то с помощью повершелла делал отсылку данных о попытке доступа(из security лога) на почту. Бесполезная хуйня

  8. RewTunes:

    Мне помогает в разборках с пользователями. Есть некоторые шары, где полный доступ у человек ста, всем надо. Часто они дёргают мышкой, удаляют специально или случайно чужие папки. Меня надоелло восстанавливать из бекапа этот хлам. Аудит доступа + парсер логов нашли криворуких сотрудников.

  9. AbmSnow:

    У меня такая же херня произошла сегодня. Все таки придется делать юзеров на каждого для шары + врубать аудит. Пару раз пиздюлины выписать — и все будет отлично.

  10. OrbSwet:

    Имперву ФС сам уже нашел в инете, но скачивать ее не дают, а на заявку на триал мне не ответили

  11. OrbSwet:

    А можно как то настроить чтобы аудит например перезатирался (чтобы не был большой) а в текстовый лог при этом события отказа в доступе писались.

    Это делается стандартными средствами?

  12. TteTunes:

    можно родить скрипт на повершелле, который будет парсить лог винды и сохранять нужные записи в текстовый файл.

  13. TteTunes:

    а не проще родить права доступа к файлам и папкам? от бэкапов и периодической нужды в восстановлении это не спасет, правда

  14. Gibno:

    могу организовать, если интересно — пиши в пост.

  15. RewTunes:

    Да можно бесплатными средствами всё настроить. Вот разжеванный пример на powershell-е.
    А я юзаю старый логпарсер Правильней по шедулеру выгружать нужные события аудита в отдельные файлы fs-%date%.log.
    Встречный вопрос — если ты не админ, как ты это сделаешь? Нужны права на сервере.

  16. RewTunes:

    < а не проще родить права доступа к файлам и папкам?
    Ты имеешь ввиду не расшарено ли на everyone? Нет права все настроены как надо. Косячат те, кто имеет доступ.

  17. TteTunes:

    сейчас в win 8 обнаружил утилиту File History. File History saves copies of your files so you can get them back if they are lost or damaged. Не помню такой пепяки в семерке. Может и в win server 2012 есть подобное для файловых шар? Завтра выясню. А пока посмотрю, на что способна эта поебень в восьмерке.

  18. Gibno:

    такая «хрень» есть давно, называется «теневая копия тома».

  19. TteTunes:

    в общем да, это оно и оказалось

  20. Symodin:

    на клиенты нельзя, или лениво? если нельзя, то есть ли заказ на подобное, или ты админам хочешь нос утереть? скажи им слово Nagios, и делай в этот момент максимально загадочное лицо.

  21. Gibno:

    а они ответят «SCOM» и посмотрят на тебя, как на болвана-красноглазика.

  22. OrbSwet:

    на клиенты нельзя, а админам — просто у них нет времени этим заниматься. Они получают люлей раз в год за то, что на файловых шарах помойка и лазит по ним кто попало, хмурятся, крепчают, и забивают еще на год. Если найти нормальный надежный софт — все станут счастливы. Тока похоже нет его.

    Инфраструктурный мониторинг не нужен. Если что то не так будет с шарами все об этом узнают секунд за 30. Надо знать кто ищет не нужную ему инфу и проверять не выложил ли кто то для таких искунов свое домашнее порно, скан паспорта, кредитную карту и файлик password.txt.

Добавить комментарий