Condividi:        

log attività win 2000 server

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

log attività win 2000 server

Postdi feno » 15/01/04 14:50

Buongiorno a tutti,
vorrei controllare tutti gli utenti che si loggano ad una macchina con w2000 server e sapere cosa hanno fatto.
Ho visto su questo topic che bisogna attivare il processo di Auditing.

Mi spiegate meglio cosa bisogna attivare e cosa no?
Dove le vedo poi le informazioni?

Devo farlo su 2 server diversi uno con W2000 server in italiano che gestisce utenti a livello locale, ed un altro con w2000 server che gestisce un dominio.

Grazie
Cià

F@no
feno
Utente Senior
 
Post: 268
Iscritto il: 29/05/02 08:36
Località: Somewhere in Italy

Sponsor
 

Postdi Dylan666 » 15/01/04 16:46

Vediamo se questo risponde almeno in parte alle tue domande (ultima parte della pagina):

http://www.html.it/hardening/hardening_03.htm
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi pjfry » 15/01/04 18:18

cmq la guida di windows su questo punto è piuttosto esauriente, hai provato a guardare?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi feno » 15/01/04 18:43

si ma non ho capito molto... quando parla di attivare gli snap-in mi sono perso.

Comunque adesso sono riuscito a vedere i log ma sono piuttosto anonimi: per vedere quale file è stato aperto devo fare doppio click su ogni singola voce di registro...
Nel link suggerito da dylan si fa accenno a tanti sw reperibili in rete... sapete cosigliarmene qualcuno?

Io voglio sapere per ogni volta che da un computer qualsiasi si loggano nel server (anche dal server stesso) che cosa diavolo fanno, in quali cartelle entrano, quali files aprono, cosa cancellano. Insomma tutto. E' importante vedere il nome del pc che si è collegato oltre al nome utente. Non devo bloccare, solo monitorare.

Grazie
Cià

F@no
feno
Utente Senior
 
Post: 268
Iscritto il: 29/05/02 08:36
Località: Somewhere in Italy

Postdi pjfry » 15/01/04 18:53

si può fare... anche se il log (lo vedrai dall'event viewer) si riempe in mezza giornata, poi è dura controllarlo... appena posso ti spiego dallo snap-in in poi ;)
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi feno » 15/01/04 19:01

saresti così gentile da spiegarmi anche quali eventi è necessario attivare e in quale modo per avere solo le informazioni sugli accessi ai file e alle directory?

Chiedo consiglio su sw di terze parti che facciano questo. Grazie.
Cià

F@no
feno
Utente Senior
 
Post: 268
Iscritto il: 29/05/02 08:36
Località: Somewhere in Italy

Postdi pjfry » 15/01/04 20:29

di software non ne conosco... magari kadosh ne sà di +, boh!?
per il resto, provo a spiegarti, ma considera che è roba avanzata, io nel mio piccolo ho attivato qualche audit solo per fare delle prove a casa e niente di +... insomma se non sai come si usano gli snap-in forse dovresti pensare di studiare un po' ;)

allora: strumenti di amministrazione, local security settings, local policy, audit policy (in inglese e su xp, spero sia facile rintracciarli sul 2000 ;) )
dalla pagina linkata da dylan puoi capire quali ti servono... per file e cartelle 'audit object access', di sicuro 'success' ma forse può interessarti anche il failure, cioè uno che prova ad aprire della roba senza averne i diritti...
a questo punto riavvii... e dopo cominci a settare l'audit sulle varie cartelle e file... puoi decidere quali gruppi controllare (anche everyone, se vuoi...) e cosa per ognuno... tipo l'apertura del file, la lettura delle proprietà... insomma un pacco di roba, ti rendi conto di cosa vuoi fare? :P

ovviamente per gli utenti conta come si loggano, se entrano tutti con lo stesso account serve a poco...

quello che ho detto vale per il server standalone, per il dominio è un pò diverso ma simile... ovviamente le security settings devi andarle a trovare per il dominio (active directory blablabla mi pare), poi devi auditare gli oggetti in AD (directory access???)

beh insomma ti aspetta una bella fatica... se hai bisogno di altro chiedi pure ;)
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi feno » 16/01/04 08:51

Grazie è tutto chiaro, rimane il problema del fatto che sugli eventi non è proprio immediato capire quale file è stato aperto...

Adesso comunque funziona per il server italiano senza domini, provo a cimentarmi con il server di dominio in inglese.
Cià

F@no
feno
Utente Senior
 
Post: 268
Iscritto il: 29/05/02 08:36
Località: Somewhere in Italy

Postdi pjfry » 16/01/04 09:25

ah, ora ho capito cosa intendevi prima... ti rompe dover cliccare sull'evento per vedere il file...
non sò che dire.... sicuramente si può analizzare il log con altre applicazioni, ma non ne conosco... :-?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Dylan666 » 16/01/04 13:45

Guarda qui se trovi qualcosa...

http://www.sikurezza.org/ml/01_02/msg00238.html (leggi le 2 risposte)
http://www.isdecisions.it/fa.html (Costoso e profesionale)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi feno » 16/01/04 17:43

Non mi sembra che diano quello che cerco... ma forse non ho capito bene.

GRazie comunque...
Cià

F@no
feno
Utente Senior
 
Post: 268
Iscritto il: 29/05/02 08:36
Località: Somewhere in Italy

Postdi piercing » 16/01/04 19:53

Possiamo cercare anche in casa... ;)

http://www.pc-facile.com/security.php?id=1

in particolare l'auditing viene trattato a pagina due.
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi feno » 19/01/04 13:02

ho letto l'articolo che tra l'altro è molto interessante... grazie.

Comunque... Avete presente in gestione computer che c'è quella bellissima voce che di dice... Sessioni, Condivisioni, File aperti... io vorrei un log di quello non esiste proprio?
Tra l'altro nell'auditing non riesco a vedere quale computer è connesso... alla voce COMPUTER c'è sempre il nome del server.


Grazie
Cià

F@no
feno
Utente Senior
 
Post: 268
Iscritto il: 29/05/02 08:36
Località: Somewhere in Italy

Un attimo di panico...

Postdi feno » 30/04/04 14:22

Ho creato un file troppo grande che mi si è mangiato tutto lo spazio su C:

Adesso non riesco neanche ad aprire le applicazioni della gestione dell'auditing.

Dove si trova il file? mi sembra che si chiami SecEvent.evt o qualcosa di simile.

Posso cancellarlo direttamente? posso disattivare il servizio di auditing in qualche altro modo ad es da riga di comando?

Aiuto!!!!
Cià

F@no
feno
Utente Senior
 
Post: 268
Iscritto il: 29/05/02 08:36
Località: Somewhere in Italy

Postdi francy » 30/04/04 15:19

Ma non hai impostato un limite massimo al file di log?
il file da te citato si trova in:
c:\winnt\sysyem32\security,
ma ovviamente non può essere cancellato perchè in uso...sai da chi? da services.exe, e direi che non è un processo killabile.
Mi sa che devi cancellarlo da consolle di ripristino.
se eventualmente dovesse crearti dei problemi sulla macchina il fatto che non trovi più il file degli eventi di sicurezza, copiatene uno da un'altro PC ed inseriscilo, non ho mai avuto problemi con quei file per cui non so cosa dire.
P.S. Spero non ti arrabbi ;) , ma visti alcuni tuoi precedenti post, non è il caso di documentarsi un po' di più prima di mettere mano a dei server? :undecided: ;)
francy
Utente Senior
 
Post: 464
Iscritto il: 03/12/02 11:11
Località: Udine


Torna a Software Windows


Topic correlati a "log attività win 2000 server":


Chi c’è in linea

Visitano il forum: Nessuno e 93 ospiti