Как получить логи открытия папок/файлов в WinServer 2019/Win10?

Question

[Rett-oo]

Подскажите пожалуйста, как можно получить историю открытия директорий или файлов в определенной директории. Или хотя бы общую историю открытия файлов(дальше уже сам спарсить смогу). Нужно получить из логов логин юзера(или Id) когда он заходил, если можно сколько он там пробыл, и желательно всю инфу об его активности в определенной директории. Как это можно сделать на win server 2019 / win10, либо как это можно сделать на python?

Answer 1

[MVV]

Во-первых, включите в политике аудит доступа к файлам и папкам (в разделе аудита доступа к объектам). Во вторых, в свойстах папки (в окне по кнопке Дополнительно, на вкладке Аудит) добавьте пользователей и группы, чью активность вы собираетесь отслеживать. После этого записи аудита доступа (создание и открытие файлов и папок) будут писаться в журнал событий Безопасность.
А вот как дальше обрабатывать их на python - это я вам не скажу.

Comments

[Rett-oo]

Спасибо за ответ, я правильно понимаю, что без предварительной настройки аудита такая информация не записывается никуда? Хотя бы id и время входа в директорию

[d-stream]

Rett-oo, естественно нет - аудит, так или иначе - достаточно "тяжелая" операция и в некоторых ситуациях можно просадить производительность. К примеру при попытке проводника проиндексировать 100500 файлов картинок в мониторящейся папке. Да и в логе будет 100500*N записей.

[#]

MVV, d-stream, Rett-oo,

А вот как дальше обрабатывать их на python - это я вам не скажу.

гугл точно подскажет ;)) к примеру запрос python wmi event log, но может и интереснее есть решения.. убрать из запроса wmi и сравнить ))

[#]

Rett-oo, без аудита, по дефолту записывают логин/логаут.. хотя это тоже аудит.. просто более легкий..
в сочетании с контролем доступа к файлам/папкам (если железо потянет), можно построить более тонкий анализ поведения пользователя ;)

[#]

Rett-oo, ну и размер журнала аудита, возможно стоит увеличить.. см настройки журналов и рост размера на практике ))

Answer 2

[#]

а много ли файлов надо курировать? по опыту c# - есть возможность целевой подписки на события файла/папки.. и это точно легче чем журналы аудита и их парсинг..
в *икс терминологии написать демона.. и повесить где надо в шедулере.. хоть на рабочих станциях самих пользователей ))... через АД к примеру ))
если что помогу сформулировать поисковые запросы для питона ))

ps если корпоративная среда, тот же пшел достаточен:
- не надо заливать питон клиенту
- дотнет и пшел априори во всех актуальных версиях винды
- запуск стукача политиками ;)
... если что пишите, даже интересно стало ;)

Comments

[Rett-oo]

При переезде на новый сервер старые политики слетели/, узнали спустя сутки т_т. Поэтому сижу грущу что уже не посмотреть логи активности за предыдущие сутки. Но за советы организации аудита спасибо большое, пороюсь среди того что предложили!

[#]

Rett-oo, ну так себе переезд тогда ))
- миграция ролей
- копирование sysvol
.. ни кто не отменял ;)

[Rett-oo]

#, миграция вообще так себе , мягко говоря, уже не говорю о 10% потерянных данных в результате передачи через sftp)))

[Rett-oo]

Я хотел через ACL перекинуть быстро доступы, но потом вспомнил из за чего мы переезжали со старого) но это уже совсем другая история) Зато есть опыт как не надо)

[#]

Rett-oo, если таки корпоративная среда:
- переложение аудита на самого клиента может серьезно уйти от серьезной нагрузки сервера
- если питона нет по дефолту у всех клиентов, то точно есть дотнет и пшел. на них можно запилить самодельный аудит. бонусом нагрузка лишь в меру активности конкретной рабочей станции
- логи писать туда, куда удобно админу
- ну а в парсинге питон силен )).. там уже вам и шашки в руки ))

[Rett-oo]

#, понял, настрою на клиентских компах, спасибо за совет! На сервере скорее всего не решился бы, файлов действительно много