Habilite a auditoria de arquivos no Windows para monitorar os eventos relacionados aos usuários, como: acessar, modificar e apagar arquivos e pastas monitorados em sua rede.
A configuração da Auditoria é feita em duas partes:
1) Habilitar a auditoria na pasta que deseja auditar
2) Habilitar a auditoria por Diretiva de Grupo
Configurando a Pasta que será auditada:
1. Abra o Windows Explorer e navegue até o arquivo (pasta) em questão.
2. Clique com o botão direito do mouse na pasta e clique em Propriedades, clique na guia Segurança e após Avançado.
3. Alterne para a guia de Auditoria e clique no botão Editar.
4. Clique em Adicionar para escolher os usuários e os grupos de monitoramento. A prática comum é adicionar o grupo de usuários autenticados.
2. Clique com o botão direito do mouse na pasta e clique em Propriedades, clique na guia Segurança e após Avançado.
3. Alterne para a guia de Auditoria e clique no botão Editar.
4. Clique em Adicionar para escolher os usuários e os grupos de monitoramento. A prática comum é adicionar o grupo de usuários autenticados.
Aplicando Auditoria via GPO
1. Abra Iniciar -> Executar, digite secpol.msc e tecle Enter.
2. Edite ou crie a GPO onde deseja aplicar a Auditoria.
3. Navegue até Configuração de Segurança -> Diretivas locais -> Diretiva de auditoria.
4. Edite a Auditoria de acesso a objetos.
6. Clique em OK, e feche o Editor de GPO
Para aplicar as configurações imediatamente no computador, abra o Prompt de Comando e digite o comando"gpupdate /force"
Agora, todas as tentativas de acesso serão rastreadas no log de segurança do Visualizador de Eventos. Se você quiser verificar quem excluiu determinado diretório, abra o Visualizador de Eventos em Logs do Windows na parte de Segurança. Procure o evento com número de identificação 4663, conforme mostrado abaixo.
Espero ter ajudado!
Eu consigo apontar esses logs para outro servidor? por exemplo, um servidor próprio de logs?
ResponderExcluirNecessito realizar esta operação.
Olá Rafael,
ExcluirPor padrão os logs poderão ser visualizados no Event Viewer do seu Controlador de Domínio, nada lhe impede de encaminhar esses logs para um servidor coletor de eventos, seria até uma boa prática. Ainda não tenho nenhum Post aqui no Blog sobre esse assunto, mas você pode saber mais nesse link no site do Technet.
http://technet.microsoft.com/pt-br/library/cc748890.aspx
Nos livros de preparação para o exame 70-642 "Windows Server 2008 - Infraestrutura de Rede" também é abordado esse assunto.
Espero ter ajudado!
muito bom esse tutorial me ajudou bastante
ResponderExcluirnao consigo visualiza logs de dias e mes anterior
ResponderExcluirEste comentário foi removido pelo autor.
ResponderExcluirOlá! Marquei na auditoria dos diretórios apenas eventos de falha e êxito na exclusão da pasta inteira e de subpastas e arquivos. Queria ter log apenas destes eventos, que é o 4663 (Windows Server 2008 R2) Mas tenho MUITOS logs 5145, pelo que li é um log que mostra se o usuário tem acesso a determinado arquivo ou não... Poderia me dizer como faço para ter apenas os logs referentes a exclusão dos arquivos? Obrigado, um abraço! Hiuri.
ResponderExcluir