Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1524 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Logs sur des fichiers, répertoires etc...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Logs sur des fichiers, répertoires etc...

n°140737
Micko77666
Posté le 15-06-2016 à 14:19:51  profilanswer
 


Bonjour tout le monde,
 
 
 
Actuellement nous connaissons malheureusement des vagues de licenciements dans la société où je travail (je sens mon tour arriver sous peu, merci à l'externalisation lol).
 
La direction demande de mettre en place des logs, sur les ouvertures/modifications/suppressions de certains répertoires et fichiers sur le réseaux.
Le soucis c'est que je ne vois pas de log qui me permettrait de dire qu'actuellement un users s'amuse à delete des répertoires où il a les droits.
 
 
Avez-vous une solution via l'AD ou les droits NTFS ou autre, ou une solution software ? et aussi qui interdirait de copier collé des fichiers etc.. ?
 
 
En vous remerciant par avance,

mood
Publicité
Posté le 15-06-2016 à 14:19:51  profilanswer
 

n°140738
bicoun
Et non pas Bicounet !!!
Posté le 15-06-2016 à 14:32:54  profilanswer
 

Triste :(  
 
Ce que je vois surtout dans ce genre de solution, c'est d'être sûr de ses sauvegardes pour restaurer à tout moment les données qui auraient été supprimés.


---------------
Pixel mort -> .
n°140739
Micko77666
Posté le 15-06-2016 à 14:47:18  profilanswer
 


Les sauvegardes pas de soucis pour ça, le soucis ça reste le mec qui supprime ou modifie des fichiers, et que tu ne le vois que dans 6 mois.
 
Ou un delete complet des fichiers (6To) ce qui sera très très long à restaurer avec des bandes (LTO4 actuellement).

n°140744
akizan
Eye Sca Zi
Posté le 15-06-2016 à 16:23:05  profilanswer
 
n°140746
Je@nb
Modérateur
In ze cloud
Posté le 15-06-2016 à 16:39:07  profilanswer
 

bah les droits ntfs de base

n°140747
Micko77666
Posté le 15-06-2016 à 16:57:21  profilanswer
 


Sur les droits NTFS de base, je ne peux pas avoir de traçabilité sur qui a fait quoi, où sur qui a ouvert X fois un fichier qu'il n'aurait pas eu le droit etc...

n°140748
Je@nb
Modérateur
In ze cloud
Posté le 15-06-2016 à 17:04:54  profilanswer
 

si

n°140749
Micko77666
Posté le 15-06-2016 à 17:14:51  profilanswer
 


Je suis preneur d'infos alors, car je vois pas où je peux trouver ça.

n°140750
Je@nb
Modérateur
In ze cloud
Posté le 15-06-2016 à 17:19:14  profilanswer
 
n°140751
crachkille​r
Posté le 15-06-2016 à 19:29:09  profilanswer
 
mood
Publicité
Posté le 15-06-2016 à 19:29:09  profilanswer
 

n°140758
Micko77666
Posté le 16-06-2016 à 08:42:53  profilanswer
 


Très utile ta démarche Je@nb, tu peux aussi fermer le forum et mettre uniquement ce lien ça ira plus vite .....
 
 
Bref, j'ai beau regardé l'audit sur les droits à NTFS, il manque énormément de chose par rapport à ma demande initiale sur le sujet.
 
Je vois pas un contrôle pour empêcher les copier coller par exemple ... bref venir troll un sujet je n'en vois pas l'intérêt, soit tu veux bien aider  en donnant de vrais infos, sinon il vaut mieux ne pas répondre si ça te fait ch.... d'y répondre.

n°140761
Je@nb
Modérateur
In ze cloud
Posté le 16-06-2016 à 09:15:48  profilanswer
 

non mais demander comment faire de l'audit sans même chercher c'est un peu gros. C'est pas comme si j'avais tapé une recherche ultra compliqué dans google mais bon... Tu es de mauvaise fois c'est tout.
 
Quant au copier coller bah c'est pas de l'audit donc ça va pas se trouver là, et ça c'est pas possible et c'est bien normal.

n°140762
Micko77666
Posté le 16-06-2016 à 09:22:34  profilanswer
 


Je ne connaissais pas l'audit dans les droits NTFS, donc difficile de faire une recherche sur quelques choses que tu ne connais pas. C'est plus facile de chercher, quand tu sais quoi chercher.  
 
Au début tu m'as parlé juste des droits NTFS, j'ai donc regardé et pour ça que je t'avais dit que ça ne faisait pas ce que je recherché et tu m'as répondu juste "si", tu m'aurais dit  si regarde l'audit ça m'aurait aider :)
 
Et après la question de savoir si la recherche est facile ou pas, le but du fofo c'est aussi d'échanger sur des méthodes, sur ce que les autres font etc... sinon effectivement google a surement déjà toutes les infos j'en doute pas. Bref passons nous allons pas nous éterniser sur ça.
 
Pour le copier collé, je sais que les outils existent, mais je n'arrive pas à en trouver un (entre les pubs à la con, les freeware etc...). Pour l'audit aussi, pas forcément très lisible même en créant des filtres et autres, enfin sur des millions de fichiers, je pense qu'il y a des outils plus performants (enfin j'espère).

n°140764
akizan
Eye Sca Zi
Posté le 16-06-2016 à 09:56:55  profilanswer
 

Ha oui, c'est vrai en plus, y'a l'audit des fichiers par ntfs...
J'ai mis ça en place chez nous en plus xD
http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0


Message édité par akizan le 16-06-2016 à 10:05:40
n°140767
Micko77666
Posté le 16-06-2016 à 10:10:19  profilanswer
 

"Ha oui, c'est vrai en plus, y'a l'audit des fichiers par ntfs.."
 
 
Je connaissais pas du tout cette fonction, car tout simplement pas le besoin avant. Mais j'ai fouiné du coup un peu, belle usine à gaz et l'observateurs d’événement comme souvent pas clair. Et sur 6To de données users, j'imagine même pas le nombre d'infos.  
 
Et j'imagine que dans des très grands groupes, il doit y avoir des solutions plus admin friendly ? enfin je l'espère :)

n°140768
ShonGail
En phase de calmitude ...
Posté le 16-06-2016 à 10:16:25  profilanswer
 

Franchement j'ai du louper un épisode mais l'audit NTFS, c'est juste inutilisable.

n°140769
Je@nb
Modérateur
In ze cloud
Posté le 16-06-2016 à 10:34:48  profilanswer
 

Tu as des solutions comme Varonis qui permettent de faire plein de choses.
Après intégrer ça dans un SIEM avec des reporting font l'affaire.
 
Après l'idée est de limiter l'audit aux utilisateurs que tu veux auditer, sur les actions que tu veux auditer sur les fichiers que tu veux auditer. Mettre authenticated users à la racine d'un serveur de fichier sur toutes les opération c'est un coup à faire planter son serveur de fichier.

n°140770
akizan
Eye Sca Zi
Posté le 16-06-2016 à 11:10:48  profilanswer
 

Micko77666 a écrit :

"Ha oui, c'est vrai en plus, y'a l'audit des fichiers par ntfs.."
 
 
Je connaissais pas du tout cette fonction, car tout simplement pas le besoin avant. Mais j'ai fouiné du coup un peu, belle usine à gaz et l'observateurs d’événement comme souvent pas clair. Et sur 6To de données users, j'imagine même pas le nombre d'infos.  
 
Et j'imagine que dans des très grands groupes, il doit y avoir des solutions plus admin friendly ? enfin je l'espère :)


 
Ouais, c'est ce que j'allais dire, tout dépend le nombre de fichiers à auditer car au niveau perf, ça peut prendre une claque.
Depuis qu'on a mis en place chez nous (un dossier avec une centaine de fichiers), on a pas vu d'effets indésirables (j'avais d'ailleurs oublié que c'était en prod' xD) mais comme j'en parlais dans mon topic, j'ai été obligé d'agrandir la taille du journal. Et ça par contre, c'est quand même chiant car à distance, à ouvrir par la MMC, ça prend quand même vachement plus de temps.
Bref, 6To, un journal, la taille va piquer sévère même avec un bon ciblage à mon avis...


Message édité par akizan le 16-06-2016 à 11:15:01
n°140771
Je@nb
Modérateur
In ze cloud
Posté le 16-06-2016 à 11:21:39  profilanswer
 

Et attention avec la taille des journaux, c'est des mapped memory files donc tu peux pas mettre une taille énorme si tu veux pas bouffer toute la ram de ton serveur.
Faut centralier les logs sur des serveurs de monitoring, c'est fait pour ça.

n°140772
Micko77666
Posté le 16-06-2016 à 11:38:01  profilanswer
 


Aujourd'hui ce sont surtout les gens qui vont être licencier que nous voulons surveiller, mais la direction veut clairement étendre cela à toute la société.
 
Même en affinant les droits, il y a toujours un mec qui va te supprimer un fichier, répertoire qu'il ne faut pas. Et sans traçabilité dur de savoir ce qui s'est passé. Sans parler des soucis de virus du genre Cryptlocker, qui pour le coup recevoir une alerte comme quoi X milliers de fichiers viennent d'être modifiers ça aurait été top.
 
Après je pense que l'audit NTFS de ce que j'ai pu lire est tester, est clairement bien pour un besoin ponctuel, ou sur quelques users et répertoires. Sur 6To et 150 salariés pour moi ça ressemble à une usine à gaz.
 
Je vais regarder pour Varonis je ne connais pas. Pour le soucis des copier collés c'est pour éviter la fuite d'information, mais bon il y a toujours des façons de contourner les choses.

n°140773
Micko77666
Posté le 16-06-2016 à 11:39:01  profilanswer
 


Pour les logs, nous avons un sexilog actuellement, je peux donc facilement les exporter. Après ça va être de faire le tri des quantités de données le plus lourd et le reporting qui va avec.

n°140776
nebulios
Posté le 16-06-2016 à 13:57:30  profilanswer
 

Non mais auditer 6 To en 24/24 il faut juste oublier. A moins qu'ils soient prêts à acheter une infra et des équipes entières de tech rien que pour ça.

n°140778
Micko77666
Posté le 16-06-2016 à 14:20:04  profilanswer
 


Pour cela que je cherchais un moyen simple visuellement d'avoir l'infos qui m'intéresse ou faire une recherche facile.
 
Exemple la direction me demande de voir qui a modifier quoi il y a 3 semaines dans un répertoire, je vois pas utiliser observateur d'événements pour cela. Après entre l'avis du SI et la direction qui est dans son monde ...

n°140779
nebulios
Posté le 16-06-2016 à 15:16:44  profilanswer
 

Avant de chercher un moyen de visualiser ces infos, tu devrais commencer par estimer le volume des logs, leur croissance et par conséquent l'infra nécessaire pour stocker, visualiser et sauvegarder ces données. Ce que tu traduiras en coût pour ta direction. Coût qui sera je pense démentiel pour une boîte de 150 personnes.

n°140781
Micko77666
Posté le 16-06-2016 à 15:56:11  profilanswer
 


Oui je pense que ça risque de les dissuader, même si bizarrement ils ne sont pas trop regardant sur l'infra.
 
Par contre pour l'estimation ça va être quand même short, mise à part tester pendant une semaine et faire une moyenne journalière je ne vois pas trop, je pense pas qu'il y ait des outils tout fait pour ce calcul. Mais dans les 5 à 6Go/jours en logs ça serait pas étonnant.

n°140788
Lone Morge​n
Forever HB
Posté le 16-06-2016 à 19:20:11  profilanswer
 

L'audit NTFS peut générer rapidement énormément de log c'est lourd et pas super exploitable directement.
 
Assurer que tout le monde n'a accès qu'au données qui le concerne avec la mise en place des partage et gestion des droits méthode AGDLP
 
 + audit des changements avec netwrix auditor http://www.netwrix.com/file_server_auditing.html


---------------
In ITIL we trust.
n°140797
skoizer
tripoux et tête de veau
Posté le 17-06-2016 à 13:27:51  profilanswer
 

Ce topic me donne envie de troller :)
Ne pourrais tu pas plutot auditer les annonces de pole emploi pour vite sortir de ce grand nean ?


---------------
Plus tu essaies de rentrer dans le moule, plus tu ressembles à une tarte.
n°140804
akizan
Eye Sca Zi
Posté le 17-06-2016 à 16:27:08  profilanswer
 

Je@nb a écrit :

Et attention avec la taille des journaux, c'est des mapped memory files donc tu peux pas mettre une taille énorme si tu veux pas bouffer toute la ram de ton serveur.
Faut centralier les logs sur des serveurs de monitoring, c'est fait pour ça.


 
Et c'est chargé en RAM ça ?
http://img15.hostingpics.net/pics/670448mem.png


Message édité par akizan le 17-06-2016 à 16:27:22
n°140805
Je@nb
Modérateur
In ze cloud
Posté le 17-06-2016 à 16:32:20  profilanswer
 

tu as un event log de 50mo ?
J'ai des clients qui mettent plusieurs centaines de mo voir en go ...

n°140806
akizan
Eye Sca Zi
Posté le 17-06-2016 à 16:35:29  profilanswer
 

Je@nb a écrit :

tu as un event log de 50mo ?
J'ai des clients qui mettent plusieurs centaines de mo voir en go ...


 
C'est 20Mo par défaut donc, j'ai plus que doublé...
Des centaines de Mo,voir giga ! juste pour le journal security, on est bien d'accord ?
 
Mais en RAM, ça a l'air de prendre moins quand même :
 
http://img15.hostingpics.net/pics/647444rammap.png


Message édité par akizan le 17-06-2016 à 16:36:04
n°140808
Je@nb
Modérateur
In ze cloud
Posté le 17-06-2016 à 18:07:16  profilanswer
 

oui juste pour celui de sécu.
A vérifier mais il me semblait que c'est juste parce que c'est des memory mapped files que ça diminue d'autant l'espace en ram. A ne pas confondre avec l'utilisation en ram du fichier. (ouais je sais c'est pas clair et pour moi non plus et j'ai pas envie de chercher plus)

n°140824
akizan
Eye Sca Zi
Posté le 18-06-2016 à 13:14:42  profilanswer
 

ok, on peut assez facilement dire que pour un serveur, on peut augmenter la taille des journaux dans des proportions gigantesques, contrairement aux journaux des PC où on est plus raisonnable :D
Le besoin n'est certainement pas le même.

n°140830
Crocodile9​74
Posté le 18-06-2016 à 22:32:37  profilanswer
 

Salut Veritas ( anciennement symantec) à une solution de gouvernance de donnée. Pour les présentations que j'ai eu ça semble correspondre au besoin de ta direction.

n°140859
Micko77666
Posté le 20-06-2016 à 09:23:07  profilanswer
 

"Ce topic me donne envie de troller :)  
Ne pourrais tu pas plutot auditer les annonces de pole emploi pour vite sortir de ce grand nean ?"
 
Bas tu es gentil, tu vas troller ailleurs, si ça ne t'intéresse pas bas tu ne réponds pas, c'est facile à comprendre pourtant non ?
 
 
Merci pour vos réponses pour les autres, effectivement l'idée de l'audit pourrait très bien convenir je pense, mais sur quelques users et quelques répertoires, je l'imagine pas sur l'ensemble des users et du parc.  
 
Je vais regarder pour Veritas voir ce qu'il propose, je trouve très peu de solution en tout cas, pourtant nous devons pas être les seuls à vouloir interdire les copier/coller etc.. , peut être que la solution portail comme Sharepoint, permets de mieux gérer cette partie.

n°140933
Lone Morge​n
Forever HB
Posté le 22-06-2016 à 23:06:16  profilanswer
 

:sarcastic: netwrix


---------------
In ITIL we trust.
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Logs sur des fichiers, répertoires etc...

 

Sujets relatifs
impossible d'enregistrer les fichiers logCreation de dossiers + fichiers sous conditions GPP
Fichiers joints bloqués par PFSENSESage Coala - fichiers de travail ?
Windows 2008 R2 foundation : lecture seule et fichiers Thumbs.dbInfrastructure RDS 2012 - Gestion, rétention, externa. des logs/events
Audit sur du fichier et mesure de pertes de performanceAccès refusé fichiers hors connexion
Serveur de fichiers (solution de stockage)Listing des répertoires accessibles par utilisateur AD
Plus de sujets relatifs à : Logs sur des fichiers, répertoires etc...



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR