Soporte Urgente MS MVP. Soporte Auditorias

01/03/2005 - 16:23 por jaime | Informe spam
Buenas tardes, necesito vuestra ayuda o soporte. Os comento que tengo un
problemas de auditorias.SO: Windows 2003 Stardard Edition

Tengo que decirle a mi jefe quien toca un dcoumento, a que hora, etc...
Tengo establecida la auditoria siguiente sobre esa carpeta: recorrer
documentos, acceso objetos, crear archivos / escribir datos, pero no se
queda reflejado el archivo, es decir, solo si un usuario accede a esa
carpeta.
Pongo un ejemplo: La carpeta se llama Data_Direccion y el archivo Forecast.
Pues en el Eventvwr se me queda reflejado lo siguiente ( copio y pego
literalmente ).

Tipo de suceso: Aciertos
Origen del suceso: Security
Categoría del suceso: Acceso de objetos
Id. suceso: 560
Fecha: 01/03/2005
Hora: 10:00:00
Usuario: Madrid_Domain\user_admin
Equipo: Poseidon
Descripción:
Objeto abierto:
Servidor de objetos: Security
Tipo de objeto: File
Nombre de objeto: e:\data\Data_Direccion
Id. del identificador: 2312
Id. de operación: {0,151446535}
Id. de proceso: 4
Nombre de proceso:
Nombre de usuario principal: Poseidon$
Dominio principal: Madrid_Domain
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente:user_admin
Dominio de cliente: Madrid_Domain
Id. de inicio de sesión del cliente: (0x0,0x8E6CF5B)
Accesos ReadData (o ListDirectory)

Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0x1

Pero como veis, no dice que fichero se ha tocado ( "Nombre de objeto:
e:\data\Data_Direccion " ) , solamente la carpeta, y me estan pidiendo saber
quien toca cada fichero y a que hora y no puedo decirles nada.
Por favor, si fuerais tan ambale de darme soporte os lo agradeceria.
Gracias de antemano.

Preguntas similare

Leer las respuestas

#1 José Antonio Quílez [MS MVP]
01/03/2005 - 22:00 | Informe spam
El problema está en interpretar la información de cada uno de los eventos que aparecen en el visor de sucesos - seguridad. Si tal como tienes configurada la auditoría de esa carpeta abres un archivo, y sólo lo lees sin modificarlo y lo cierras, en el visor de sucesos verás que sólo te aparecen un par de eventos, uno el que muestras, y en el que sólo te aparece la carpeta y no el archivo. Esto es así porque el evento registrado es Recorrer la carpeta (por parte de la aplicación), pero no se registra la propia apertura del archivo. Sin embargo, si modificas el archivo y lo guardas, entonces verás que en el conjunto de eventos que se generan sí aparece al menos uno con el nombre del archivo modificado, además de otros (incluido el de recorrer la carpeta). Para poder registrar los eventos relativos a la sola lectura de un documento debes auditar también los eventos "Listar Carpeta / Leer datos", pero esto tiene una pega: que el número de eventos que genera es exageradamente grande, y no hay manera de filtrar esos eventos y que sólo te salgan los que indiquen el nombre de archivo abierto. Sí podrías guardar a un archivo de texto txt o csv el contenido del visor de sucesos - seguridad y analizarlo allí, pero es un trabajo bastante laborioso. Además, tendrías que vigilar el tamaño del registro de sucesos para que no se te llene, o hacer que se vacíe de forma automática al llegar a cierto tamaño.
Ahora sí, si te es imprescindible saber quien lee los ficheros aunque no los modifique, no veo otra manera de hacerlo, al menos sin herramientas de terceros que lleven ese control.


Saludos
José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/
________________

"jaime" escribió en el mensaje news:
Buenas tardes, necesito vuestra ayuda o soporte. Os comento que tengo un
problemas de auditorias.SO: Windows 2003 Stardard Edition

Tengo que decirle a mi jefe quien toca un dcoumento, a que hora, etc...
Tengo establecida la auditoria siguiente sobre esa carpeta: recorrer
documentos, acceso objetos, crear archivos / escribir datos, pero no se
queda reflejado el archivo, es decir, solo si un usuario accede a esa
carpeta.
Pongo un ejemplo: La carpeta se llama Data_Direccion y el archivo Forecast.
Pues en el Eventvwr se me queda reflejado lo siguiente ( copio y pego
literalmente ).

Tipo de suceso: Aciertos
Origen del suceso: Security
Categoría del suceso: Acceso de objetos
Id. suceso: 560
Fecha: 01/03/2005
Hora: 10:00:00
Usuario: Madrid_Domain\user_admin
Equipo: Poseidon
Descripción:
Objeto abierto:
Servidor de objetos: Security
Tipo de objeto: File
Nombre de objeto: e:\data\Data_Direccion
Id. del identificador: 2312
Id. de operación: {0,151446535}
Id. de proceso: 4
Nombre de proceso:
Nombre de usuario principal: Poseidon$
Dominio principal: Madrid_Domain
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente:user_admin
Dominio de cliente: Madrid_Domain
Id. de inicio de sesión del cliente: (0x0,0x8E6CF5B)
Accesos ReadData (o ListDirectory)

Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0x1

Pero como veis, no dice que fichero se ha tocado ( "Nombre de objeto:
e:\data\Data_Direccion " ) , solamente la carpeta, y me estan pidiendo saber
quien toca cada fichero y a que hora y no puedo decirles nada.
Por favor, si fuerais tan ambale de darme soporte os lo agradeceria.
Gracias de antemano.


Respuesta Responder a este mensaje
#2 José Antonio Quílez [MS MVP]
01/03/2005 - 22:00 | Informe spam
El problema está en interpretar la información de cada uno de los eventos que aparecen en el visor de sucesos - seguridad. Si tal como tienes configurada la auditoría de esa carpeta abres un archivo, y sólo lo lees sin modificarlo y lo cierras, en el visor de sucesos verás que sólo te aparecen un par de eventos, uno el que muestras, y en el que sólo te aparece la carpeta y no el archivo. Esto es así porque el evento registrado es Recorrer la carpeta (por parte de la aplicación), pero no se registra la propia apertura del archivo. Sin embargo, si modificas el archivo y lo guardas, entonces verás que en el conjunto de eventos que se generan sí aparece al menos uno con el nombre del archivo modificado, además de otros (incluido el de recorrer la carpeta). Para poder registrar los eventos relativos a la sola lectura de un documento debes auditar también los eventos "Listar Carpeta / Leer datos", pero esto tiene una pega: que el número de eventos que genera es exageradamente grande, y no hay manera de filtrar esos eventos y que sólo te salgan los que indiquen el nombre de archivo abierto. Sí podrías guardar a un archivo de texto txt o csv el contenido del visor de sucesos - seguridad y analizarlo allí, pero es un trabajo bastante laborioso. Además, tendrías que vigilar el tamaño del registro de sucesos para que no se te llene, o hacer que se vacíe de forma automática al llegar a cierto tamaño.
Ahora sí, si te es imprescindible saber quien lee los ficheros aunque no los modifique, no veo otra manera de hacerlo, al menos sin herramientas de terceros que lleven ese control.


Saludos
José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/
________________

"jaime" escribió en el mensaje news:
Buenas tardes, necesito vuestra ayuda o soporte. Os comento que tengo un
problemas de auditorias.SO: Windows 2003 Stardard Edition

Tengo que decirle a mi jefe quien toca un dcoumento, a que hora, etc...
Tengo establecida la auditoria siguiente sobre esa carpeta: recorrer
documentos, acceso objetos, crear archivos / escribir datos, pero no se
queda reflejado el archivo, es decir, solo si un usuario accede a esa
carpeta.
Pongo un ejemplo: La carpeta se llama Data_Direccion y el archivo Forecast.
Pues en el Eventvwr se me queda reflejado lo siguiente ( copio y pego
literalmente ).

Tipo de suceso: Aciertos
Origen del suceso: Security
Categoría del suceso: Acceso de objetos
Id. suceso: 560
Fecha: 01/03/2005
Hora: 10:00:00
Usuario: Madrid_Domain\user_admin
Equipo: Poseidon
Descripción:
Objeto abierto:
Servidor de objetos: Security
Tipo de objeto: File
Nombre de objeto: e:\data\Data_Direccion
Id. del identificador: 2312
Id. de operación: {0,151446535}
Id. de proceso: 4
Nombre de proceso:
Nombre de usuario principal: Poseidon$
Dominio principal: Madrid_Domain
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente:user_admin
Dominio de cliente: Madrid_Domain
Id. de inicio de sesión del cliente: (0x0,0x8E6CF5B)
Accesos ReadData (o ListDirectory)

Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0x1

Pero como veis, no dice que fichero se ha tocado ( "Nombre de objeto:
e:\data\Data_Direccion " ) , solamente la carpeta, y me estan pidiendo saber
quien toca cada fichero y a que hora y no puedo decirles nada.
Por favor, si fuerais tan ambale de darme soporte os lo agradeceria.
Gracias de antemano.


Respuesta Responder a este mensaje
#3 José Antonio Quílez [MS MVP]
02/03/2005 - 20:31 | Informe spam
Casi; con la auditoría Listar Carpeta / Leer datos te genera eventos que te indican que la aplicación accede a la carpeta (para ver lo que hay) y que abre un archivo, y si además se modifica se generará otro evento debido a la política Escribir datos. Además se generan multitud de eventos intermedios, sobre todo con la auditoría de Listar Carpeta / Leer datos.
En cuanto a qué auditar, más que determinar todos los eventos a auditar, cosa que en tu ejemplo no está mal para ver todo a lo que se accede, lo importante es decidir cuando auditar. De nada te sirve obtener miles de eventos si luego no vas a estudiarlos, y un exceso de información hace desistir del estudio a más paciente. Lo que deberías hacer es habilitar las auditorías sólo cuando realmente tengas la necesidad de hacerlo, y nunca de forma arbitraria y sólo porque lo manda el jefe. Además, ten presente que cuanto más audites menor va a ser el rendimiento del sistema, pues lo vas a tener comprobando y registrando continuamente todo lo que se hace, y eso se nota.


Saludos
José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/
________________

"cristina" escribió en el mensaje news:
Gracias por contestra. Es decir, si pongo auditoria Listar Carpeta / Leer
datos se me queda reflejado la carpeta a la que han accedido pero no el
archivo que han leido pero que no han escrito, mientras que si pongo Crear
archivos / Escribir datos me pondrá el nombre del archivo que ha sido
modificado, por lo menos, en la prueba que he echo parace ser así. Si pongo
recorrer carpeta, me saldran todas las carpetas que han recorrido hasta
abrir el archvio( aunque son muchos eventos). tu como MS MVP que sabes
demasiao de esto, que tipo de auditoria me aconsejas.Ahora tengo la
aiguiente ( ver jpg ).


"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:
El problema está en interpretar la información de cada uno de los eventos
que aparecen en el visor de sucesos - seguridad. Si tal como tienes
configurada la auditoría de esa carpeta abres un archivo, y sólo lo lees sin
modificarlo y lo cierras, en el visor de sucesos verás que sólo te aparecen
un par de eventos, uno el que muestras, y en el que sólo te aparece la
carpeta y no el archivo. Esto es así porque el evento registrado es Recorrer
la carpeta (por parte de la aplicación), pero no se registra la propia
apertura del archivo. Sin embargo, si modificas el archivo y lo guardas,
entonces verás que en el conjunto de eventos que se generan sí aparece al
menos uno con el nombre del archivo modificado, además de otros (incluido el
de recorrer la carpeta). Para poder registrar los eventos relativos a la
sola lectura de un documento debes auditar también los eventos "Listar
Carpeta / Leer datos", pero esto tiene una pega: que el número de eventos
que genera es exageradamente grande, y no hay manera de filtrar esos eventos
y que sólo te salgan los que indiquen el nombre de archivo abierto. Sí
podrías guardar a un archivo de texto txt o csv el contenido del visor de
sucesos - seguridad y analizarlo allí, pero es un trabajo bastante
laborioso. Además, tendrías que vigilar el tamaño del registro de sucesos
para que no se te llene, o hacer que se vacíe de forma automática al llegar
a cierto tamaño.
Ahora sí, si te es imprescindible saber quien lee los ficheros aunque no
los modifique, no veo otra manera de hacerlo, al menos sin herramientas de
terceros que lleven ese control.


Saludos
José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/
________________

"jaime" escribió en el mensaje
news:
Buenas tardes, necesito vuestra ayuda o soporte. Os comento que tengo un
problemas de auditorias.SO: Windows 2003 Stardard Edition

Tengo que decirle a mi jefe quien toca un dcoumento, a que hora, etc...
Tengo establecida la auditoria siguiente sobre esa carpeta: recorrer
documentos, acceso objetos, crear archivos / escribir datos, pero no se
queda reflejado el archivo, es decir, solo si un usuario accede a esa
carpeta.
Pongo un ejemplo: La carpeta se llama Data_Direccion y el archivo
Forecast.
Pues en el Eventvwr se me queda reflejado lo siguiente ( copio y pego
literalmente ).

Tipo de suceso: Aciertos
Origen del suceso: Security
Categoría del suceso: Acceso de objetos
Id. suceso: 560
Fecha: 01/03/2005
Hora: 10:00:00
Usuario: Madrid_Domain\user_admin
Equipo: Poseidon
Descripción:
Objeto abierto:
Servidor de objetos: Security
Tipo de objeto: File
Nombre de objeto: e:\data\Data_Direccion
Id. del identificador: 2312
Id. de operación: {0,151446535}
Id. de proceso: 4
Nombre de proceso:
Nombre de usuario principal: Poseidon$
Dominio principal: Madrid_Domain
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente:user_admin
Dominio de cliente: Madrid_Domain
Id. de inicio de sesión del cliente: (0x0,0x8E6CF5B)
Accesos ReadData (o ListDirectory)

Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0x1

Pero como veis, no dice que fichero se ha tocado ( "Nombre de objeto:
e:\data\Data_Direccion " ) , solamente la carpeta, y me estan pidiendo
saber
quien toca cada fichero y a que hora y no puedo decirles nada.
Por favor, si fuerais tan ambale de darme soporte os lo agradeceria.
Gracias de antemano.







Respuesta Responder a este mensaje
#4 José Antonio Quílez [MS MVP]
02/03/2005 - 20:31 | Informe spam
Casi; con la auditoría Listar Carpeta / Leer datos te genera eventos que te indican que la aplicación accede a la carpeta (para ver lo que hay) y que abre un archivo, y si además se modifica se generará otro evento debido a la política Escribir datos. Además se generan multitud de eventos intermedios, sobre todo con la auditoría de Listar Carpeta / Leer datos.
En cuanto a qué auditar, más que determinar todos los eventos a auditar, cosa que en tu ejemplo no está mal para ver todo a lo que se accede, lo importante es decidir cuando auditar. De nada te sirve obtener miles de eventos si luego no vas a estudiarlos, y un exceso de información hace desistir del estudio a más paciente. Lo que deberías hacer es habilitar las auditorías sólo cuando realmente tengas la necesidad de hacerlo, y nunca de forma arbitraria y sólo porque lo manda el jefe. Además, ten presente que cuanto más audites menor va a ser el rendimiento del sistema, pues lo vas a tener comprobando y registrando continuamente todo lo que se hace, y eso se nota.


Saludos
José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/
________________

"cristina" escribió en el mensaje news:
Gracias por contestra. Es decir, si pongo auditoria Listar Carpeta / Leer
datos se me queda reflejado la carpeta a la que han accedido pero no el
archivo que han leido pero que no han escrito, mientras que si pongo Crear
archivos / Escribir datos me pondrá el nombre del archivo que ha sido
modificado, por lo menos, en la prueba que he echo parace ser así. Si pongo
recorrer carpeta, me saldran todas las carpetas que han recorrido hasta
abrir el archvio( aunque son muchos eventos). tu como MS MVP que sabes
demasiao de esto, que tipo de auditoria me aconsejas.Ahora tengo la
aiguiente ( ver jpg ).


"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:
El problema está en interpretar la información de cada uno de los eventos
que aparecen en el visor de sucesos - seguridad. Si tal como tienes
configurada la auditoría de esa carpeta abres un archivo, y sólo lo lees sin
modificarlo y lo cierras, en el visor de sucesos verás que sólo te aparecen
un par de eventos, uno el que muestras, y en el que sólo te aparece la
carpeta y no el archivo. Esto es así porque el evento registrado es Recorrer
la carpeta (por parte de la aplicación), pero no se registra la propia
apertura del archivo. Sin embargo, si modificas el archivo y lo guardas,
entonces verás que en el conjunto de eventos que se generan sí aparece al
menos uno con el nombre del archivo modificado, además de otros (incluido el
de recorrer la carpeta). Para poder registrar los eventos relativos a la
sola lectura de un documento debes auditar también los eventos "Listar
Carpeta / Leer datos", pero esto tiene una pega: que el número de eventos
que genera es exageradamente grande, y no hay manera de filtrar esos eventos
y que sólo te salgan los que indiquen el nombre de archivo abierto. Sí
podrías guardar a un archivo de texto txt o csv el contenido del visor de
sucesos - seguridad y analizarlo allí, pero es un trabajo bastante
laborioso. Además, tendrías que vigilar el tamaño del registro de sucesos
para que no se te llene, o hacer que se vacíe de forma automática al llegar
a cierto tamaño.
Ahora sí, si te es imprescindible saber quien lee los ficheros aunque no
los modifique, no veo otra manera de hacerlo, al menos sin herramientas de
terceros que lleven ese control.


Saludos
José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/
________________

"jaime" escribió en el mensaje
news:
Buenas tardes, necesito vuestra ayuda o soporte. Os comento que tengo un
problemas de auditorias.SO: Windows 2003 Stardard Edition

Tengo que decirle a mi jefe quien toca un dcoumento, a que hora, etc...
Tengo establecida la auditoria siguiente sobre esa carpeta: recorrer
documentos, acceso objetos, crear archivos / escribir datos, pero no se
queda reflejado el archivo, es decir, solo si un usuario accede a esa
carpeta.
Pongo un ejemplo: La carpeta se llama Data_Direccion y el archivo
Forecast.
Pues en el Eventvwr se me queda reflejado lo siguiente ( copio y pego
literalmente ).

Tipo de suceso: Aciertos
Origen del suceso: Security
Categoría del suceso: Acceso de objetos
Id. suceso: 560
Fecha: 01/03/2005
Hora: 10:00:00
Usuario: Madrid_Domain\user_admin
Equipo: Poseidon
Descripción:
Objeto abierto:
Servidor de objetos: Security
Tipo de objeto: File
Nombre de objeto: e:\data\Data_Direccion
Id. del identificador: 2312
Id. de operación: {0,151446535}
Id. de proceso: 4
Nombre de proceso:
Nombre de usuario principal: Poseidon$
Dominio principal: Madrid_Domain
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente:user_admin
Dominio de cliente: Madrid_Domain
Id. de inicio de sesión del cliente: (0x0,0x8E6CF5B)
Accesos ReadData (o ListDirectory)

Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0x1

Pero como veis, no dice que fichero se ha tocado ( "Nombre de objeto:
e:\data\Data_Direccion " ) , solamente la carpeta, y me estan pidiendo
saber
quien toca cada fichero y a que hora y no puedo decirles nada.
Por favor, si fuerais tan ambale de darme soporte os lo agradeceria.
Gracias de antemano.







Respuesta Responder a este mensaje
#5 cristina
02/03/2005 - 20:47 | Informe spam
Gracias maestro.

"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:
Casi; con la auditoría Listar Carpeta / Leer datos te genera eventos que te
indican que la aplicación accede a la carpeta (para ver lo que hay) y que
abre un archivo, y si además se modifica se generará otro evento debido a la
política Escribir datos. Además se generan multitud de eventos intermedios,
sobre todo con la auditoría de Listar Carpeta / Leer datos.
En cuanto a qué auditar, más que determinar todos los eventos a auditar,
cosa que en tu ejemplo no está mal para ver todo a lo que se accede, lo
importante es decidir cuando auditar. De nada te sirve obtener miles de
eventos si luego no vas a estudiarlos, y un exceso de información hace
desistir del estudio a más paciente. Lo que deberías hacer es habilitar las
auditorías sólo cuando realmente tengas la necesidad de hacerlo, y nunca de
forma arbitraria y sólo porque lo manda el jefe. Además, ten presente que
cuanto más audites menor va a ser el rendimiento del sistema, pues lo vas a
tener comprobando y registrando continuamente todo lo que se hace, y eso se
nota.


Saludos
José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/
________________

"cristina" escribió en el mensaje
news:
Gracias por contestra. Es decir, si pongo auditoria Listar Carpeta / Leer
datos se me queda reflejado la carpeta a la que han accedido pero no el
archivo que han leido pero que no han escrito, mientras que si pongo Crear
archivos / Escribir datos me pondrá el nombre del archivo que ha sido
modificado, por lo menos, en la prueba que he echo parace ser así. Si
pongo
recorrer carpeta, me saldran todas las carpetas que han recorrido hasta
abrir el archvio( aunque son muchos eventos). tu como MS MVP que sabes
demasiao de esto, que tipo de auditoria me aconsejas.Ahora tengo la
aiguiente ( ver jpg ).


"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:
El problema está en interpretar la información de cada uno de los eventos
que aparecen en el visor de sucesos - seguridad. Si tal como tienes
configurada la auditoría de esa carpeta abres un archivo, y sólo lo lees
sin
modificarlo y lo cierras, en el visor de sucesos verás que sólo te
aparecen
un par de eventos, uno el que muestras, y en el que sólo te aparece la
carpeta y no el archivo. Esto es así porque el evento registrado es
Recorrer
la carpeta (por parte de la aplicación), pero no se registra la propia
apertura del archivo. Sin embargo, si modificas el archivo y lo guardas,
entonces verás que en el conjunto de eventos que se generan sí aparece al
menos uno con el nombre del archivo modificado, además de otros (incluido
el
de recorrer la carpeta). Para poder registrar los eventos relativos a la
sola lectura de un documento debes auditar también los eventos "Listar
Carpeta / Leer datos", pero esto tiene una pega: que el número de eventos
que genera es exageradamente grande, y no hay manera de filtrar esos
eventos
y que sólo te salgan los que indiquen el nombre de archivo abierto. Sí
podrías guardar a un archivo de texto txt o csv el contenido del visor de
sucesos - seguridad y analizarlo allí, pero es un trabajo bastante
laborioso. Además, tendrías que vigilar el tamaño del registro de sucesos
para que no se te llene, o hacer que se vacíe de forma automática al
llegar
a cierto tamaño.
Ahora sí, si te es imprescindible saber quien lee los ficheros aunque no
los modifique, no veo otra manera de hacerlo, al menos sin herramientas de
terceros que lleven ese control.


Saludos
José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/
________________

"jaime" escribió en el mensaje
news:
Buenas tardes, necesito vuestra ayuda o soporte. Os comento que tengo un
problemas de auditorias.SO: Windows 2003 Stardard Edition

Tengo que decirle a mi jefe quien toca un dcoumento, a que hora, etc...
Tengo establecida la auditoria siguiente sobre esa carpeta: recorrer
documentos, acceso objetos, crear archivos / escribir datos, pero no se
queda reflejado el archivo, es decir, solo si un usuario accede a esa
carpeta.
Pongo un ejemplo: La carpeta se llama Data_Direccion y el archivo
Forecast.
Pues en el Eventvwr se me queda reflejado lo siguiente ( copio y pego
literalmente ).

Tipo de suceso: Aciertos
Origen del suceso: Security
Categoría del suceso: Acceso de objetos
Id. suceso: 560
Fecha: 01/03/2005
Hora: 10:00:00
Usuario: Madrid_Domain\user_admin
Equipo: Poseidon
Descripción:
Objeto abierto:
Servidor de objetos: Security
Tipo de objeto: File
Nombre de objeto: e:\data\Data_Direccion
Id. del identificador: 2312
Id. de operación: {0,151446535}
Id. de proceso: 4
Nombre de proceso:
Nombre de usuario principal: Poseidon$
Dominio principal: Madrid_Domain
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente:user_admin
Dominio de cliente: Madrid_Domain
Id. de inicio de sesión del cliente: (0x0,0x8E6CF5B)
Accesos ReadData (o ListDirectory)

Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0x1

Pero como veis, no dice que fichero se ha tocado ( "Nombre de objeto:
e:\data\Data_Direccion " ) , solamente la carpeta, y me estan pidiendo
saber
quien toca cada fichero y a que hora y no puedo decirles nada.
Por favor, si fuerais tan ambale de darme soporte os lo agradeceria.
Gracias de antemano.







Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida