Как правильно настроить аудит доступа к файловому серверу Windows Server 2012?

Question

[Andrey Tatarnikov]

Подскажите, как правильно настроить аудит файловой шары, чтобы:
1. Было видно создание файла
2. Было видно изменение имени файла (старое имя и новое имя)
3. Было видно изменение файла
4. Было видно удаление файла

Сделал такую настройку аудита для папки шары:

Включил политику.

При этом в логи сыпятся события ReadData, которых много и которые не нужны.
Но нет нормальных событий переименования файла: при переименовании возникает событие DELETE для старого имени, нового имени не видно совсем.
Как вообще с этим живут люди? Или есть какой-то сторонний софт, который умеет грамотно подписываться на события файловой системы и писать лог?

Answer 1

[Сергей Ковалёв]

Аудит изменений на файловых серверах стандартными средствами это боль. Непрекращающаяся.

Одно время нахваливали Netwrix Auditor for File Servers как с ним сейчас, не ведаю.

Comments

[Andrey Tatarnikov]

Поднял его поиграться. Понтов куча, работает пока не очень понятно как: изменение содержимого файла не заметил. Зато требует себе аж две базы на MSSQL и рисует много отчетов на Reporting Services, все ради одной сетевой шары...

[Сергей Ковалёв]

Andrey Tatarnikov: Там есть лаг в отчетности, т.е. оно не реалтаймовое. Все подобные системы ставят свой сервис, а зачатую и драйвер, что бы обходить ограничения на доступ к файловой системе.

[Andrey Tatarnikov]

Сергей Ковалёв: про это я в курсе, добавление/удаление файла в отчете есть. А вот изменения содержимого - нет.