Monitoreo en tiempo real de cambios en NTFS

estimados,

estoy buscando una herramienta que monitoree los file server o mas bien los cambios nivel ntfs en éstos. la idea es que envíe una alerta cuando se produce un cambio. estoy buscando una que sea free.

gracias.

---

alejandro | especialista en infraestructura microsoft |

ale,

 

lo que podes hacer es jugar con el eevent viewver. lo que yo hice fue buscar los eventos relacionados con cambios en el ntfs. y luego generar una regla para que de forma automatica envie un mail.

 

para hacer esto, activa la auditoria, busca los eventos que te interese. y luego podes utilizar el eventtriggers.exe que envia mails en base de event ids

http://www.petri.co.il/how-to-use-eventtriggersexe-to-send-e-mail-based-on-event-ids.htm

 

tutorial para configurar auditorias:

 

primero tendrias que activar todos los objetos que queres auditar y luego filtrarlos para ver los realmente importantes.

por ejemplo seguramente en tu empresa tendras creado un grupo contenedor el cual contiene todo un sector o usuarios que queres auditar.

1) dentro de las administrative tools --> local security policy --> local policy -->audit policy --> audit obeject access --> setear success , failure.

2) entras las propiedades de la carpeta o disco (c:\ e:\) --> luego la opcion security --> advanced --> auditing --> add --> elegis el grupo o el usuario --> y elegis las opciones auditar ya sea por intento fallido o o acertado. (adjunte los print screen) imagen1, imagen2 e imagen3.

si se revisan los eventos de seguridad, hay 3 eventos importantes el primero una apertura para borrarlo (id 560), su borrado (id 564) y su cerrado (id 562). (adjunto log abajo) otros dos valores que nos aportan información son el id del proceso que accedió y el tipo de acceso que se produjo. los datos que nos aporta el campo descripción veremos cual ha sido el usuario que abrió el objeto. para determinar esto debemos comprobar dos valores. el primary user name indica el usuario local que ha accedido. en un acceso local será el nombre del usuario interactivo. si el acceso lo provocó la solicitud remota de un cliente, este campo contendrá la cuenta sobre la que esta corriendo el servicio que accede, por ejemplo el servicio servidor, y el campo client user name indica el usuario remoto que solicitó el acceso través de la red. luego reinicien .

los eventos tambien los podrias filtrar por eventos, usuarios etc. , dentro del event log --> security --> propierties --> filter .

aqui abajo estan los logs de un ejemplo. un usuario borro un archivo dentro de una carpeta protegida.

1) apertura para borrarlo event id: 560
------------------
event type: success audit
event source: security
event category: object access
event id: 560
date: 13/05/2006
time: 06:52:49 p.m.
user: cpq\fbenito
computer: cpq
description:
object open:
object server: security
object type: file
object name: d:\fileserver\administracion de windows y mssql\vbrun60sp5.exe
new handle id: 1832
operation id: {0,391074}
process id: 1080
primary user name: fbenito
primary domain: cpq
primary logon id: (0x0,0x471a1)
client user name: -
client domain: -
client logon id: -
accesses delete
readattributes

privileges -
----------------

2) borrado event id: 564
--------
event type: success audit
event source: security
event category: object access
event id: 564
date: 13/05/2006
time: 06:52:49 p.m.
user: cpq\fbenito
computer: cpq
description:
object deleted:
object server: security
handle id: 1832
process id: 1080
-------------------

3) cerrado event id: 562
------------
event type: success audit
event source: security
event category: object access
event id: 562
date: 13/05/2006
time: 06:52:49 p.m.
user: cpq\fbenito
computer: cpq
description:
handle closed:
object server: security
handle id: 1832
process id: 1080

----------------------
 

Windows Server  >  Administración de servidor