LepideAuditor for File Server


 LepideAuditor for File Server

Am avut recent ocazia de a lucra cu un tool excelent pentru audit de fișiere. Auditul accesului pe fisiere poate fi uneori dificil folosind instrumente implicite din Windows, trebuie configurate Group Policies, configurat audit pe foldere, configurare de event forwarding, atasarea taskurilor la evenimente pentru a trimite notificari pe email ( ce este interesant aici de mentionat este ca nu se poate configura inainte ca evenimenul sa se fi produs ceea ce inseamna bataie de cap aditionala), backup-ul acestor informatii, si pastrarea acestora pentru o perioada mai lunga de timp cum ar fi 6 luni de exemplu. Toate aceste activitati sunt consumatoare de timp mai ales daca nu aveti experienta in configurarea anterioara a acestor setari. LepideAuditor for File Server poate oferi toate aceste funcționalități și mai mult, principalul avantaj din punctul meu de vedere este timpul economisit in gasirea evenimentelor relevante situatiei. Nimanui nu ai place sa isi piarda timpul si sa parseze manual prin loguri … Configurarea acestui tool este foarte usoara, nimic special. Acesta folosește o instanță SQL, dar poate fi implementat foarte bine folosind SQL Express. Instrumentul are două console principale, consola de setări și Consola de raportare.

Consola de raportare, simpla si eficienta…

După cum puteți vedea in imagini am servere cu roluri diferite auditate, unele fiind chiar si DC-uri sau Exchange-uri. Puteți utiliza acest tool pentru diverse scopuri, si va voi arata un astfel de exemplu, folosind un DC mai târziu în acest document. Vom crea o regulă nouă în care putem defini politicile și setările pe care dorim să le pună în aplicare pentru audit. Aici incepe distracția. O altă caracteristică interesanta a acestui instrument este flexibilitatea cu care o puteți politici de audit. Atunci când implementati setările, puteti configura aplicatia pentru a lua în considerare politici individuale, politici de grup, sau puteti crea o nouă politică.

Creand astfel o nouă politică este destul de simplu, dar în cazul în care aveți probleme, vedeti documentatia Help a aplicatiei care explica clar utilitarul respectiv. Se poate seta un interval orar in care sa se aplice politica de audit, lucru foarte util de altfel pentru ca va permite oarecum sa controlati cantitatea de informatii generata de aplicatie.

Urmatoarele caracteristici va ofera o mai mare flexibilitate si anume va permite sa configurati politici pentru Drive Lists, Directories, File Names, File Types, Processes si Events. Fiecare din aceste setari se pot combina in finctie de scopul scontat si salvarea acestora intr-o politica. După cum puteți vedea diferite setări pot fi configurate intr-o singură politică.

Când vine vorba de setările de notificare aveți 3 opțiuni, e-mail, mesaje de retea si SMS-uri.

Puteți defini chiar și un query, folosind operatori si de a trimite notificări in cazul în care sunt îndeplinite anumite condiții.

O caracteristică interesantă care imi place, este gestionarea operațiunilor simple pe baza de date SQL direct din consola de setări prin intermediul unui wizard simplu. Nu este nevoie de a Management Studio sau alte instrumente pentru a face un database shrink.

Referitor la consola de raportare, vei putea vedea cine a modificat, accesat, sters, schimbat owner si alte evenimente care sunt utile atunci când faci un audit. De exemplu, atunci când un administrator sau un utilizator cu drepturi delegate a schimbat owner-ul unui fișier sau un folder, în scopul de a accesa acel conținut, in consola putem filtra doar acele evenimente care sunt relevante pentru căutarea noastră.

Sau putem folosi unul din filtrele builtin pentru rezultate rapide. Cum am spus si mai devreme, avantajul principal fiind rapiditatea cu care se pot accesa evenimentele dorite. Mai jos vom folosi filtrul Permission Changes filter (Folder).

La deschiderea evenimentului, putem vedea următoarele detalii:

Puteți crea rapoarte obisnuite, rapoarte personalizate și le puteți exporta în diferite tipuri, cum ar fi PDF, Word, HTML, CSV sau text simplu. Rapoartele sunt executate rapid și sunt bine formatate.

Am spus mai devreme că puteți utiliza acest instrument în diverse scenarii, de exemplu, pe un DC  sau Exchange Server. Desigur, Lepide are produse specializate separate pentru audit sau de gestionare a acestor sisteme, dar vreau doar sa demonstrez că se poate folosi si in alte moduri. Puteți configura, de exemplu, auditarea SYSVOL, containerul cu politicile de domeniu. Astfel veți putea monitoriza statusul GPO-urilor. Putem afla cine a modificat, sters, creat si cand referitor la politicile de grup. Intradevar nu este asa frumos fiind ca arata GUID-ul in loc de numele politicii (care se afla usor), dar funcționalitatea sa combinata cu funcția de alertare, va fi notifica imediat persoana in masura ca s-a modificat ceva și-ar putea sa ia niste masuri inainte ca acestea sa se propage sau ca utilizatorii sa primeasca setarile.

În imaginea de mai sus veți vedea, de exemplu, cum cineva a șters o politica de grup (în acest caz, dosarul a fost șters GPT.ini). Stiu, se vede GUID-ul politicii în loc de numele ei, dar totusi acesta este un auditor de file servere nu un auditor AD, pe langa asta oricine poate găsi GUID-ul prin căutarea în proprietățile obiectului. Același lucru se poate aplica pentru Loguri și alte fisiere din Exchange, depinde de cat de creativ esti …. Ca o concluzie despre acest instrument, bune si rele: Bune: • GUI Usor si instinctiv • Configurații foarte flexibile de politici de audit • Funcționează cu SQL Express • Consola de raportare genereaza rapoarte rapide, bine formatate • Notificări aproape in real time prin intermediul diferitelor medii. • Alerte personalizate cu ajutorul operatorilor (AND, OR) • Acces rapid la evenimente folosind filtre predefinite în Consola de raportare

Rele (primele două cred ca sunt inevitabile, deoarece cele mai multe Enterprise-uri folosesc software de monitorizare ce funcționează cu agenți și necesită macar o baze de date, dar în cazul în care se vrea a fi o soluție de tip enterprise poate că ar trebui să ofere mai multe feature-uri, iar unele sugerate mai jos ar putea fi utilizate pentru a îmbunătăți produsul): • Funcționează cu agenți • Necesită o bază de date SQL • Nici un mod de logging pentru troubleshooting-ul aplicatiei

• Necesită actualizarea de agenți frecventă pentru a împinge modificări catre acestia • Nu are user based authentication • Nu exista o consolă web • Ar putea utiliza datele din DB pentru a genera charturi/diagrame

Mai multe informații despre acest program puteți găsi la:

http://www.lepide.com/file-server-audit/?gclid=CM775_fp7bUCFfB3cAodhyIAqw

Demo Video:

http://www.lepide.com/file-server-audit/lfsa-overview-video.html

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s