Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1817 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Management du SI

  Audit changement serveur fichier

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Audit changement serveur fichier

n°177241
skoizer
tripoux et tête de veau
Posté le 22-11-2022 à 08:50:33  profilanswer
 

Bonjour,
 
Sur un gros serveur de fichier Windows, j'ai un repertoire qui est réguliérement supprimé
J'ai activé l'audit mais vu le nombre de message, je ne peut loger que 24h.
Je cherche une script powershell a lancer  tous les jours
 
par exemple script qui permet de me logguer les suppression, accés sur MonRepertoire depuis 1jorus

Code :
  1. $MadateMUn = (get-date).AddDays(-1).ToString("dd/MM/yyyy hh:mm:ss" ).ToString()
  2. $events = Get-WinEvent -FilterHashtable @{LogName="Security";ID=5145;StartTime=$MadateMUn}
  3. foreach ($event in $events) {
  4.       Write-Host $event
  5.       Write-Host $event.Event.EventData.Data
  6.       Write-Host $event.Event.EventData.name
  7.          if ($event.Event.EventData.data -match "MonRepertoire" )
  8.          {
  9.          Write-Host  $event.message
  10.          }
  11.                                              
  12.   }


quelqu'un aurait il un exemple d'exploitation des event security ?


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
mood
Publicité
Posté le 22-11-2022 à 08:50:33  profilanswer
 

n°177242
albator233
Lurker inside
Posté le 22-11-2022 à 09:19:13  profilanswer
 

skoizer a écrit :

Bonjour,
 
Sur un gros serveur de fichier Windows, j'ai un repertoire qui est réguliérement supprimé
J'ai activé l'audit mais vu le nombre de message, je ne peut loger que 24h.
Je cherche une script powershell a lancer  tous les jours
 
quelqu'un aurait il un exemple d'exploitation des event security ?


Augmente la taille du log Security  :??:


---------------
Feed-back
n°177258
Je@nb
Modérateur
Kindly give dime
Posté le 22-11-2022 à 16:37:48  profilanswer
 

Log que ce qu'il t'intéresse, exporte dans un siem

n°177259
skoizer
tripoux et tête de veau
Posté le 22-11-2022 à 19:38:34  profilanswer
 

rien que ça un SIEM :)  
80% des projets SIEM n'arrivent pas au bout et sont abandonné
 
notre concentrateur de log n'a plus de place. pour l'isntant nous n'avons pas prévu de mettre en place les log vers celui ci
 
j'ai essayé avec un filtre XML !
ce n'est pas trés pratique
 
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
*[EventData[Data[@Name='ShareName'] and (Data='\\*\ddl')]]
and
*[System[(EventID='5145')]]
and  
*[EventData[Data[@Name='RelativeTargetName'] and (Data='Direction')]]
</Select>
  </Query>
</QueryList>


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°177260
ShonGail
En phase de calmitude ...
Posté le 22-11-2022 à 21:45:44  profilanswer
 

Si tu limites bien l'audit au seul répertoire et actions visés, tu ne dois avoir que les entrées désirées.
Et c'est donc facile à retrouver.
Je l'ai fait par le passé et avec succès.
J'ai pu confondre le coupable et arrêter de taper dans la sauvegarde :o

n°177261
Je@nb
Modérateur
Kindly give dime
Posté le 22-11-2022 à 22:09:09  profilanswer
 

skoizer a écrit :

rien que ça un SIEM :)
80% des projets SIEM n'arrivent pas au bout et sont abandonné

 

notre concentrateur de log n'a plus de place. pour l'isntant nous n'avons pas prévu de mettre en place les log vers celui ci

 

j'ai essayé avec un filtre XML !
ce n'est pas trés pratique

 

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='ShareName'] and (Data='\\*\ddl')]]
and
*[System[(EventID='5145')]]
and
*[EventData[Data[@Name='RelativeTargetName'] and (Data='Direction')]]
</Select>
</Query>
</QueryList>


Intéressant tes chiffres tu les sors d'où ?

n°177275
skoizer
tripoux et tête de veau
Posté le 25-11-2022 à 09:14:51  profilanswer
 

80% de  consultant / collégue
le siem est long a mettre en place. Il faut avoir la capacité pour le faire.
 
A la base, je veux juste recuperer quelques info sur un nas widows. Mais tu me propose un 33Tonnes pour transporter ma poigné de sable  :pt1cable:  
Bravo tu as un SIEM, tu es dans l’élite informatique  :D


Message édité par skoizer le 25-11-2022 à 09:16:41

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°177276
Ryo-Ohki
10th Rabbit
Posté le 26-11-2022 à 08:57:18  profilanswer
 

Ou juste un OIV.
 
Remarque 1 plus haut : augmente la taille du Security Log.
 
Remarque 2 : fais toi un script qui tourne à intervalle régulier (1 fois / heure) et qui surveille si ton repertoire est toujours là. Si oui, fin d'exécution. Si non, export du journal sécurité que tu pourras ensuite étudier à tête reposée.
 
(et ajoute une condition d'arrêt une fois la détection réalisée pour pas exporter le journal "X" fois).


---------------
The Lapin, reloaded  |  "Anything can happen in Formula One, and it usually does." -- Murray Walker

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Management du SI

  Audit changement serveur fichier

 

Sujets relatifs
office 2021 sur serveur rds[MDA] Quel serveur choisir ?
SNMP Trap Onduleur - Windows Serveur 2019creer un cloud priver sous windows serveur 2022
Changement type d'ouverture de sessionServeur/Workstation DELL precision T7920 écran noir et code couleur no
Windows Server 2019, changement voix du narrateurDNS résolution impossible sur Serveur 2012
Configuration Utilisateur Serveur SFTP - CHROOT JailUtilisation serveur IIS
Plus de sujets relatifs à : Audit changement serveur fichier


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR