File System Audit

Наверняка каждый системный администратор сталкивался с задачей - вынуть да положить руководству на стол информацию о том, кто стер какой-либо очень нужный файл с сетевого хранилища. Почти все знают, как включить аудит событий файловой системы. Если кто-то не знает, очень рекомендую ознакомиться вот с этой статьей: How do I enable auditing on certain files/directories? - это очень просто и быстро.
После включения аудита в логе безопасности файлового сервера станут появляться события о работе с файловой системой. Вот как, например, выглядит запись о запросе на удаление какого-либо файла:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 10.08.2011 15:54:17 Event ID: 4663 Task Category: File System Level: Information Keywords: Audit Success User: N/A Computer: fs-01.test.local Description: An attempt was made to access an object. Subject: Security ID: TEST\user01 Account Name: user01 Account Domain: TEST Logon ID: 0x2aca0e Object: Object Server: Security Object Type: File Object Name: E:\Share\Тест.txt Handle ID: 0x8c0 Process Information: Process ID: 0x4 Process Name: Access Request Information: Accesses: DELETE Access Mask: 0x10000

В этом сообщении видно все, что нам нужно для отчета. Единственная проблема заключается в том, что в логе безопасности сообщений будет огромное количество. И среди всего этого вороха данных нам нужно будет как-то отыскать нужную информацию. Известно, что все логи сервера - это файлы, значит, нужно каким-то образом в автоматическом режиме прочитать файл лога, вытащить оттуда записи согласно определенным критериям, и этот комплект записей выложить на стол руководству. Осталось лишь найти инструмент, которым можно этого добиться. Он есть, называется LogParser, взять можно вот здесь: LogParser @ Microsoft.com.
Инструмент этот относится к разряду CLI-утилит - вся работа осуществляется при помощи командной строки. В разборе того, что и куда вводить, чтобы прочитать нужные данные, мне очень сильно помогла вот эта страница: Log Parser - The "Swiss Army Knife" for Intrusion Investigators and Computer Forensics Examiners. По прочтению и пониманию материала был сформирован следующий ярлык вызова утилиты:
"c:\Program Files\Log Parser 2.2\logparser.exe" file:c:\DeleteEvents.sql?source=Security -o:DATAGRID

А в качестве содержимого файла запроса DeleteEvents.sql используется следующее:
SELECT timegenerated, EXTRACT_TOKEN(Strings,1,'|') AS User, EXTRACT_TOKEN(Strings,2,'|') AS UserDomain, EXTRACT_TOKEN(Strings,6,'|') AS Object, EXTRACT_TOKEN(Strings,9,'|') AS LocalAccessMask, EXTRACT_TOKEN(Strings,10,'|') AS RemoteAccessMask, EventID FROM %Source% WHERE Object LIKE '%Share%' AND (EventID='4656' or EventID='4663') AND (LocalAccessMask='0x10000' or RemoteAccessMask='0x10000') ORDER BY timegenerated
Да, это самый обычный SQL запрос. Допустим, меня очень сильно интересовало, какой нехороший человек стер мой любимый файлик, называвшийся "тест.txt". Вводим запрос, нажимаем Enter, и в ответ получаем красивую табличку вот такого вида:

Откуда видим, что нахала, стершего файл, зовут user01, принадлежит он к домену TEST. И файл был стерт сегодня. Что ж, задача выполнена, мерзавец найден. Дальше уже пусть руководство разбирается, что с user01 делать и какие санкции к нему применять.

P.S. Все вышеописанное справедливо для Windows 2008 Server. В версии 2003 формат записей в логе безопасности был иным, поэтому файл sql запроса скорее всего нужно будет серьезно менять.
P.P.S. Небольшая хохма на десерт. Существуют платные решения из сферы аудита, одно из таких я сегодня захотел попробовать: sсript Logic File System Audit. Как всегда при запросе пробной версии нужно заполнить простыню. Ок, давайте, посмотрим, что и куда писать надо. Вот кусок этой простыни:

Ничего более подходящего, чем Вооруженные силы Европы я там не нашел. А что, хорошая страна ведь

P.P.P.S. Окинул запись взглядом анонимного пользователя - ГРАФИЧЕСКИЕ СМАЙЛЫ! УБЕЙТЕ СЕБЯ О СТЕНУ В КРОВАВЫЕ ОШМЕТКИ!!!