การคอนฟิกระบบตรวจสอบ(Audit)บนWindows

หากต้องการคอนฟิกระบบตรวจสอบการหรือไฟล์ ซอร์ฟแวร์ ไดเรกทอรี่ ต่าง ๆ ของWindows เพื่อประโยชน์ในการติดตามพฤติกรรมการใช้งานหรือตรวจสอบสาเหตุความขัดข้องต่าง ๆ ของระบบเราสามารถทำได้ดังนี้

งานโปรเจ็คที่เราทำอาจต้องใช้คอมพิวเตอร์ร่วมกันหรือไฟล์ที่แชร์ไว้ใน Network Drive คำถามที่เราอาจคิดขึ้นมาก็คือ

  • วัน เวลา ที่เกิดเหตุขัดข้อง
  • Which backup should be used to restore the data?
  • Activity ของผู้ใช้งานที่อาจส่งผลต่อความขัดข้องมีอะไรบ้าง
  • เหตุขัดข้องเกิดแบบเดียวกันเกิดขึ้นบ่อยไหมและน่าจะเกิดขึ้นอีกไหม

ในระบบปฎิบัติกาWindowsมีฟังก์ชั่นที่เรียกว่าAuditเพื่อตรวจสอบการทำงานของUserและการเปลี่ยนแปลงต่าง ๆ เช่นสร้าง ลบ เปลี่ยนแปลงไฟล์ เป็นต้น ซึ่งสามารถบอกเหตุที่เกี่ยวข้องกับสิ่งที่เราสนใจได้ การใช้Auditนี้จะทีการเก็บบันทึกActivityต่างๆ ไว้โดยละเอียดขึ้นอยู่กับอ็อปชั่นที่เราเลือก ดังนั้นการเลือกที่จะบันทึกสิ่งต่าง ๆ โดยละเอียดจะทำให้ระบบช้าลงโดยปริยายด้วย การเก็บเฉพาะActivityที่สนใจจึงเป็นสิ่งสำคัญที่ทำให้ระบบไม่ช้าลงไปจนมีนัยสำคัญ

ฟังก์ชั่น Auditing มีอยู่ใน Microsoft Windows NT OSs: Windows XP/Vista/7, Windows Server 2000/2003/2008. Unfortunately, ยกเว้น Windows Home versions ที่ไม่มีหน้าสำหรับจัดการเหมือนรุ่นอื่น ๆ จึงทำให้การใช้งานยากกว่า

การเปิดฟังก์ชั่น Audit

ให้เข้า Windows ด้วยUserระดับ Administrator แล้วเปิดที่ Start Run พิมพ์ gpedit.msc แล้วกดปุ่ม Enter

จะพบหน้าต่าง Group Policy ให้แตกกิ่งไปที่ Windows Settings → Security Settings → Local Policies → Audit Policies

clip_image001

ดับเบิ้ลคลิ้ก Audit object access

แล้วเลือก Success

clip_image002

การเลือก Success ก็เพื่อเก็บEventที่ได้ทำสำเร็จของUserนั่นเอง

คลิ้ก OK

แล้วปิดหน้าต่าง Group Policy

ขั้นต่อไปให้กำหนดว่า Folder หรือ Direcory ไหนที่ใช้ร่วมกันแล้วต้องการตรวจจับ Activity ให้คลิ้กขวาที่ Directory นั้นใน Windows Explorer แล้วเลือก Property

ที่แท็ป Security เลือก Advanced → Auditing

คลิ้ก Edit

แล้วเพิ่มUserคือEveryone เข้ามาในรายการ โดยเลือก Add > Advance > Find Now แล้วเลือก Everyone

เลือกรายการAccessที่ต้องการAuditเช่น Delete subfolder and file, Delete

clip_image003

คลิ้ก OK

การเก็บEvent ต่าง ๆ อาจมีมากเกินไป เราสามารถกำนหนดพื้นที่ในการLogได้ว่าให้จำกำอยู่ที่เท่าใดโดยเปิดไปที่

Start → Run พิมพ์ eventvwr.msc แล้วกดEnter

จะพบบ MMC console ให้คลิ้กขวาที่กิ่ง Security event log เลือก Properties แล้วกำหนดอ็อปชั่นพื้นที่เก็บดังนี้

  • Maximum Log Size = 65536 KB (สำหรับ workstation) หรือ 262144 KB (สำหรับ server)
  • Overwrite events as needed

ขั้นสุดท้ายคือวิธีการตรวจสอบจากข้อมูลที่เก็บไว้

เวลาที่ต้องการตรวจสอบให้เปิดไปที่ Start → Run พิมพ์ eventvwr.msc กด Enter จะพบ MMC console

แตกกิ่งSecurity จะพบข้อมูล Auditที่เก็บไว้

เราสามารถใช้ Filter Current Log ในหน้าต่างขวามือเพื่อกรอง Activity ที่เราสนใจได้อีกด้วย

clip_image004

หากเป็น Windows XP/2003 สามารถคลิ้กขวาที่กิ่ง Security เลือก View → Filter เลือกอ็อปชั่นการกรองข้อมูลเช่น

  • Event Source:Security;
  • Category:         Object Access;
  • Event Types:      Success Audit;
  • Event ID:         560;

clip_image005

คลิ้ก OK

ความหมายของข้อมูลที่เก็บไว้

  • Object Name. ชื่อของไฟล์หรือโฟลเดอร์
  • Image File Name. ชื่อโปรแกรมที่ผู้ใช้ใช้ในการจัดการObjectข้างต้น
  • Accesses. การเข้าถึงเพื่อดำเนินการกับObject

clip_image006

Windows 2008/Vista/7/8

ใช้ Filter คือ

  • Event Source:     Security;
  • Category:         Object Access;
  • Event Types:      Success Audit;
  • Event ID:         4663;

ตัวอย่างบาง Event

clip_image007

Advertisements
This entry was posted in Uncategorized. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s