Soporte Urgente MS MVP. Soporte Auditorias

01/03/2005 - 16:23 por jaime | Informe spam
Buenas tardes, necesito vuestra ayuda o soporte. Os comento que tengo un
problemas de auditorias.SO: Windows 2003 Stardard Edition

Tengo que decirle a mi jefe quien toca un dcoumento, a que hora, etc...
Tengo establecida la auditoria siguiente sobre esa carpeta: recorrer
documentos, acceso objetos, crear archivos / escribir datos, pero no se
queda reflejado el archivo, es decir, solo si un usuario accede a esa
carpeta.
Pongo un ejemplo: La carpeta se llama Data_Direccion y el archivo Forecast.
Pues en el Eventvwr se me queda reflejado lo siguiente ( copio y pego
literalmente ).

Tipo de suceso: Aciertos
Origen del suceso: Security
Categoría del suceso: Acceso de objetos
Id. suceso: 560
Fecha: 01/03/2005
Hora: 10:00:00
Usuario: Madrid_Domain\user_admin
Equipo: Poseidon
Descripción:
Objeto abierto:
Servidor de objetos: Security
Tipo de objeto: File
Nombre de objeto: e:\data\Data_Direccion
Id. del identificador: 2312
Id. de operación: {0,151446535}
Id. de proceso: 4
Nombre de proceso:
Nombre de usuario principal: Poseidon$
Dominio principal: Madrid_Domain
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente:user_admin
Dominio de cliente: Madrid_Domain
Id. de inicio de sesión del cliente: (0x0,0x8E6CF5B)
Accesos ReadData (o ListDirectory)

Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0x1

Pero como veis, no dice que fichero se ha tocado ( "Nombre de objeto:
e:\data\Data_Direccion " ) , solamente la carpeta, y me estan pidiendo saber
quien toca cada fichero y a que hora y no puedo decirles nada.
Por favor, si fuerais tan ambale de darme soporte os lo agradeceria.
Gracias de antemano.
 

Leer las respuestas

#1 José Antonio Quílez [MS MVP]
01/03/2005 - 22:00 | Informe spam
El problema está en interpretar la información de cada uno de los eventos que aparecen en el visor de sucesos - seguridad. Si tal como tienes configurada la auditoría de esa carpeta abres un archivo, y sólo lo lees sin modificarlo y lo cierras, en el visor de sucesos verás que sólo te aparecen un par de eventos, uno el que muestras, y en el que sólo te aparece la carpeta y no el archivo. Esto es así porque el evento registrado es Recorrer la carpeta (por parte de la aplicación), pero no se registra la propia apertura del archivo. Sin embargo, si modificas el archivo y lo guardas, entonces verás que en el conjunto de eventos que se generan sí aparece al menos uno con el nombre del archivo modificado, además de otros (incluido el de recorrer la carpeta). Para poder registrar los eventos relativos a la sola lectura de un documento debes auditar también los eventos "Listar Carpeta / Leer datos", pero esto tiene una pega: que el número de eventos que genera es exageradamente grande, y no hay manera de filtrar esos eventos y que sólo te salgan los que indiquen el nombre de archivo abierto. Sí podrías guardar a un archivo de texto txt o csv el contenido del visor de sucesos - seguridad y analizarlo allí, pero es un trabajo bastante laborioso. Además, tendrías que vigilar el tamaño del registro de sucesos para que no se te llene, o hacer que se vacíe de forma automática al llegar a cierto tamaño.
Ahora sí, si te es imprescindible saber quien lee los ficheros aunque no los modifique, no veo otra manera de hacerlo, al menos sin herramientas de terceros que lleven ese control.


Saludos
José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/
________________

"jaime" escribió en el mensaje news:
Buenas tardes, necesito vuestra ayuda o soporte. Os comento que tengo un
problemas de auditorias.SO: Windows 2003 Stardard Edition

Tengo que decirle a mi jefe quien toca un dcoumento, a que hora, etc...
Tengo establecida la auditoria siguiente sobre esa carpeta: recorrer
documentos, acceso objetos, crear archivos / escribir datos, pero no se
queda reflejado el archivo, es decir, solo si un usuario accede a esa
carpeta.
Pongo un ejemplo: La carpeta se llama Data_Direccion y el archivo Forecast.
Pues en el Eventvwr se me queda reflejado lo siguiente ( copio y pego
literalmente ).

Tipo de suceso: Aciertos
Origen del suceso: Security
Categoría del suceso: Acceso de objetos
Id. suceso: 560
Fecha: 01/03/2005
Hora: 10:00:00
Usuario: Madrid_Domain\user_admin
Equipo: Poseidon
Descripción:
Objeto abierto:
Servidor de objetos: Security
Tipo de objeto: File
Nombre de objeto: e:\data\Data_Direccion
Id. del identificador: 2312
Id. de operación: {0,151446535}
Id. de proceso: 4
Nombre de proceso:
Nombre de usuario principal: Poseidon$
Dominio principal: Madrid_Domain
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente:user_admin
Dominio de cliente: Madrid_Domain
Id. de inicio de sesión del cliente: (0x0,0x8E6CF5B)
Accesos ReadData (o ListDirectory)

Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0x1

Pero como veis, no dice que fichero se ha tocado ( "Nombre de objeto:
e:\data\Data_Direccion " ) , solamente la carpeta, y me estan pidiendo saber
quien toca cada fichero y a que hora y no puedo decirles nada.
Por favor, si fuerais tan ambale de darme soporte os lo agradeceria.
Gracias de antemano.


Preguntas similares