Текущий архив: 2004.09.19;
Скачать: CL | DM;
Вниз
Узнать инициатора перемещения каталога Найти похожие ветки
← →
Cruel © (2004-08-06 09:34) [0]Дано: файл-сервер Win2K SP3 на NTFS, трёхуровневая структура каталогов Организация/Отдел/Пользователь с установленными правами доступа, сетка на 70 пользователей. Пользователи по сети работают с файлами, моя программа с помощью ReadDirectoryChangesW отлавливает события в каталоге, а с помощью NetFileEnum & NetSessionEnum определяет кто открыл файл, с какой машины, её конфигурацию.
Если происходит создание или удаление каталога, то программа определяет кто это сделал, но при _перемещении_ каталога выяснить инициатора не удаётся. Как быть - ведь именно для отслеживания изменения структуры каталогов и создавалась программа?
← →
Дмитрий В. Белькевич (2004-08-07 05:28) [1]Вообще-то на это родной аудит есть. Насколько я помню, это сама система прекрасно отлавливает, и журнал событий складывает.
← →
Cruel © (2004-08-08 08:27) [2]Уважаемый Дмитрий В.!
Безусловно, что первое, куда я обратил свой взор - это к журналу безопасности и его настройкам, однако при перемещении каталога в журнале безопасности возникает два события, связать которые между собой на мой взгляд не представляется возможным:
Событие 1: Удаление каталога ...\Новая папка (2) из старого каталога
Тип события: Аудит успехов
Источник события: Security
Категория события: Доступ к объектам
Код события: 560
Дата: 08.08.2004
Время: 08:10:15
Пользователь: MAIN\TST
Компьютер: WIN2K
Описание:
Открытие объекта:
Сервер объекта: Security
Тип объекта: File
Имя объекта: C:\...\Новая папка (2)
Новый код дескриптора: 1040
Код операции: {0,43713850}
Код процесса: 1308
Основной пользователь: TST
Домен: MAIN
Код входа: (0x0,0xE403)
Пользователь-клиент: -
Домен клиента: -
Код входа клиента: -
Доступ DELETE
SYNCHRONIZE
ReadAttributes
Привилегии -
Событие 2: Добавление чего-то в какой-то каталог
Тип события: Аудит успехов
Источник события: Security
Категория события: Доступ к объектам
Код события: 560
Дата: 08.08.2004
Время: 08:10:15
Пользователь: MAIN\TST
Компьютер: WIN2K
Описание:
Открытие объекта:
Сервер объекта: Security
Тип объекта: File
Имя объекта: C:\...\TestDir
Новый код дескриптора: 1096
Код операции: {0,43713853}
Код процесса: 1308
Основной пользователь: TST
Домен: MAIN
Код входа: (0x0,0xE403)
Пользователь-клиент: -
Домен клиента: -
Код входа клиента: -
Доступ SYNCHRONIZE
Запись данных (или добавление файла)
Привилегии -
Надо признать, что события идут друг за другом, но является ли это определяющим при их сопоставлении и не может ли "затесаться" между ними другое событие этого же пользователя, ну скажем, от программы, работающей под его именем в автоматическом режиме?
Страницы: 1 вся ветка
Текущий архив: 2004.09.19;
Скачать: CL | DM;
Память: 0.47 MB
Время: 0.055 c
