การคอนฟิกระบบตรวจสอบ (Audit) บน Windows


หากต้องการคอนฟิกระบบตรวจสอบการหรือไฟล์ ซอร์ฟแวร์ ไดเรกทอรี่ ต่าง ๆ ของWindows เพื่อประโยชน์ในการติดตามพฤติกรรมการใช้งานหรือตรวจสอบสาเหตุความขัดข้อง ต่าง ๆ ของระบบเราสามารถทำได้ดังนี้
งานโปรเจ็คที่เราทำอาจต้องใช้คอมพิวเตอร์ร่วมกันหรือไฟล์ที่แชร์ไว้ใน Network Drive คำถามที่เราอาจคิดขึ้นมาก็คือ
  • วัน เวลา ที่เกิดเหตุขัดข้อง
  • Which backup should be used to restore the data?
  • Activity ของผู้ใช้งานที่อาจส่งผลต่อความขัดข้องมีอะไรบ้าง
  • เหตุขัดข้องเกิดแบบเดียวกันเกิดขึ้นบ่อยไหมและน่าจะเกิดขึ้นอีกไหม
ในระบบปฎิบัติกาWindowsมีฟังก์ชั่นที่เรียกว่าAuditเพื่อตรวจสอบการทำงาน ของUserและการเปลี่ยนแปลงต่าง ๆ เช่นสร้าง ลบ เปลี่ยนแปลงไฟล์ เป็นต้น ซึ่งสามารถบอกเหตุที่เกี่ยวข้องกับสิ่งที่เราสนใจได้ การใช้Auditนี้จะทีการเก็บบันทึกActivityต่างๆ ไว้โดยละเอียดขึ้นอยู่กับอ็อปชั่นที่เราเลือก ดังนั้นการเลือกที่จะบันทึกสิ่งต่าง ๆ โดยละเอียดจะทำให้ระบบช้าลงโดยปริยายด้วย การเก็บเฉพาะActivityที่สนใจจึงเป็นสิ่งสำคัญที่ทำให้ระบบไม่ช้าลงไปจนมีนัย สำคัญ
ฟังก์ชั่น Auditing มีอยู่ใน Microsoft Windows NT OSs: Windows XP/Vista/7, Windows Server 2000/2003/2008. Unfortunately, ยกเว้น Windows Home versions ที่ไม่มีหน้าสำหรับจัดการเหมือนรุ่นอื่น ๆ จึงทำให้การใช้งานยากกว่า

การเปิดฟังก์ชั่น Audit
ให้เข้า Windows ด้วยUserระดับ Administrator แล้วเปิดที่ Start Run พิมพ์ gpedit.msc แล้วกดปุ่ม Enter
จะพบหน้าต่าง Group Policy ให้แตกกิ่งไปที่ Windows Settings → Security Settings → Local Policies → Audit Policies

  
ดับเบิ้ลคลิ้ก Audit object access
แล้วเลือก Success
 
การเลือก Success ก็เพื่อเก็บEventที่ได้ทำสำเร็จของUserนั่นเอง
คลิ้ก OK
แล้วปิดหน้าต่าง Group Policy
ขั้นต่อไปให้กำหนดว่า Folder หรือ Direcory ไหนที่ใช้ร่วมกันแล้วต้องการตรวจจับ Activity ให้คลิ้กขวาที่ Directory นั้นใน Windows Explorer แล้วเลือก Property
ที่แท็ป Security เลือก Advanced → Auditing
คลิ้ก Edit
แล้วเพิ่มUserคือEveryone เข้ามาในรายการ โดยเลือก Add > Advance > Find Now แล้วเลือก Everyone
เลือกรายการAccessที่ต้องการAuditเช่น Delete subfolder and file, Delete


คลิ้ก OK
การเก็บEvent ต่าง ๆ อาจมีมากเกินไป เราสามารถกำนหนดพื้นที่ในการLogได้ว่าให้จำกำอยู่ที่เท่าใดโดยเปิดไปที่
Start → Run พิมพ์ eventvwr.msc แล้วกดEnter
จะพบบ MMC console ให้คลิ้กขวาที่กิ่ง Security event log เลือก Properties แล้วกำหนดอ็อปชั่นพื้นที่เก็บดังนี้
  • Maximum Log Size = 65536 KB (สำหรับ workstation) หรือ 262144 KB (สำหรับ server)
  • Overwrite events as needed
ขั้นสุดท้ายคือวิธีการตรวจสอบจากข้อมูลที่เก็บไว้
เวลาที่ต้องการตรวจสอบให้เปิดไปที่ Start → Run พิมพ์ eventvwr.msc กด Enter จะพบ MMC console
แตกกิ่งSecurity จะพบข้อมูล Auditที่เก็บไว้
เราสามารถใช้ Filter Current Log ในหน้าต่างขวามือเพื่อกรอง Activity ที่เราสนใจได้อีกด้วย


หากเป็น Windows XP/2003 สามารถคลิ้กขวาที่กิ่ง Security เลือก View → Filter เลือกอ็อปชั่นการกรองข้อมูลเช่น
  • Event Source:Security;
  • Category:         Object Access;
  • Event Types:      Success Audit;
  • Event ID:         560;

คลิ้ก OK
ความหมายของข้อมูลที่เก็บไว้
  • Object Name. ชื่อของไฟล์หรือโฟลเดอร์
  • Image File Name. ชื่อโปรแกรมที่ผู้ใช้ใช้ในการจัดการObjectข้างต้น
  • Accesses. การเข้าถึงเพื่อดำเนินการกับObject

Windows 2008/Vista/7/8
ใช้ Filter คือ
  • Event Source:     Security;
  • Category:         Object Access;
  • Event Types:      Success Audit;
  • Event ID:         4663;
ตัวอย่างบาง Event

ที่
ป้ายกำกับ:

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)