Traceur – surveillance environnement serveur interne

[Lorenzole+bo]

Bonjour,

Pourrais-t’on me renseigner sur des logiciels de type “Traceur” permettant de surveiller les actions faites par les utilisateurs dans un environnement interne multi-utilisateurs (au sein d’une entreprise, par ex.).

Ce logiciel aurait la capacité d’enregistrer dans un “Journal”:

Date et heure d’ouverture/fermeture de sessions pour chaque poste utilisateur,

Date et heure des opérations/actions réalisées durant les sessions actives pour chaque utilisateur :
- Ouverture/fermeture d’applications bureautiques,
- Création, modification, suppression de répertoires (arborescence),
- Création, modification, suppression de fichiers,
- Téléchargement de fichiers exécutables ou non sur Serveur et/ou PC à partir du Web.
- Accès à des réseaux sociaux (Tchat, mails instantanés)

Merci et à bientôt.

[ram-0000]

* Date et heure d’ouverture/fermeture de sessions pour chaque poste utilisateur, ca, tu l'as déjà avec l'audit système. Regarde l'article Présentation du sous-système d'audit dans l'environnement Microsoft Windows.

* Pour Ouverture/fermeture d’applications bureautiques, si tu les reformule différemment, tu peux aussi les avoir aussi avec l'audit c'est de l'audit sur le binaire word.exe (par exemple)

* Peut être un dev spécifique à base de hook pour surveiller la modification du file system (Création, modification, suppression de fichier et répertoires).

* Accès à des réseaux sociaux (Tchat, mails instantanés), c'est probablement dans les logs du proxy de l'entreprise (si il y a un proxy)

* Téléchargement de fichiers exécutables ou non sur Serveur et/ou PC à partir du Web, c'est aussi dans les logs du proxy

[spawntux]

Citation:

- Création, modification, suppression de répertoires (arborescence),
- Création, modification, suppression de fichiers,

Clique droit -> propriétés -> Sécurité -> Parametres Avances -> Audit

Et la tu mets qui tu veux auditer et sur quoi voila

[ram-0000]

Citation:

Envoyé par spawntux

Clique droit -> propriétés -> Sécurité -> Parametres Avances -> Audit

Ces paramètres font ils partie de ce qui est hérité par un fichier ou un repertoire créé ?

Parce que si ce n'est pas hérité, cela ne suffit pas, exemple :

• Je surveille c:\temp avec l'audit
• L'utilisateur crée c:\temp\toto c'est remonté car c:\temp est audité
• L'utilisateur crée c:\temp\toto\titi c'est remonté (ou pas) car les paramètres d'audit de c:\temp ont été recopiés/hérités (ou pas) par c:\temp\toto

[Tmutantv1]

Citation:

Envoyé par ram-0000

Ces paramètres font ils partie de ce qui est hérité par un fichier ou un repertoire créé ?

Il y'a deux cases à cocher en bas de la dite fenêtre qui permet de définir le comportement des paramètres d'audit sur les objets enfants.
La première permet de propager ou non les entrées d'audit aux objets enfants et la deuxième permet de remplacer les entrées d'audit des objets enfants par ceux définis sur le parent.

[Lorenzole+bo]

Bonsoir,

Merci pour vos commentaires. Je vais tester tout cela. J'ai trouvé sur le web un keyLogger de Spytector (www.spytector.com) : est-ce un produit sérieux ? (Si vous le connaissez ou l'avez déjà utilisé). Il m'a l'air très complet et semble efficace à première vue.

Merci pour vos conseils.

A bientôt