Recherche tuto pour mise en place d'audit sur win2003.

tomo0013 · 17/03/2008, 11h49

Bonjour à toutes & à tous,

Si je poste une nouvelle discution, c'est que j'ai deja bien cherché sans résultat ... Je suis actuellemenent en train de mettre en place la fonctionnalité d'audit de winodws 2003 (sur un domaine w2003 biensur), mais je ne trouve pas de documentation ou de tuto sur cette fonctionnalité.

Qlqn aurait'il des infos la dessus ?

Merci d'avance.

Thomas.

Civodul4 · 17/03/2008, 15h07

http://support.microsoft.com/kb/814595

tomo0013 · 17/03/2008, 16h47

Merci CIVODUL4, mais en effet c'est la seul procédure que j'ai trouvé sur l'audit d'evenement.

Si qlqn a autre chose je suis prenneur, car on peut pas dire que ce lien la m'est réellement aidé.

tomo0013 · 19/03/2008, 11h42

Je relance la discution!
voici toutes les informations que j'ai trouvé au sujet de l'audit d'evenement :
https://www.microsoft.com/france/tec.../secmod50.mspx
http://www.microsoft.com/france/tech...secmod117.mspx
http://support.microsoft.com/kb/814595

Autant dire pas grand chose ...

Tout pragmatique que je suis, j'ai donc mis en place une phase de test tres simpliste :
Activation de l'audit sur "l'acces aux objets" dans une GPO. Puis par le biais de propriété du répertoire partagé que je veux auditer --> onglet "sécurité" --> bouton "parametres avancés" --> Onglet "Audit" --> j'ajoute un utilisateur, et je valide l'ensemble des evenements en réussite et en échec.
voir screen ci-dessous:

Je descend les gpo par "gpupdate /force" sur mon serveur de fichier qui contient le répertoire partagé audité, et à partir de mon poste de travail, je navigue dans ce répertoire, j'ouvre un fichier, je le referme, j'en réouvre un autre, je fais une modif, j'enregistre et je referme.

En allant analyser l'observateur d'evenement, je m'appercoit bien malgré moi que j'ai beaucoup trop d'entrées pour pouvoir faire une recherche correct. De plus ces entrées sont completement incohérentes et fausses ... en effet, l'observateur mentionne des ouverture de fichier que je n'ai pas effectué, 30-40 ouvertures du meme répertoire, ... de plus, je ne retrouve pas de trace du fichier que j'ai modifié et enregistré ...
...
...
....
.....

Entre le manque de ressource et l'incohérence des résultats, je commence a douter fortement de la crédibiité de l'audit d'evenement de microsoft ... Si qlqn pouvait me venir en aide,ou simplement me témoigner son expérience positive à ce sujet j'en serai vraiment ravi !
Merci d'avance.

Louis-Guillaume Morand · 19/03/2008, 11h51

Citation:

l'observateur mentionne des ouverture de fichier que je n'ai pas effectué, 30-40 ouvertures du meme répertoire

si tu as un repertoire avec des images ou des videos, windows les ouvre pour toi pour effectuer les miniatures.

quant à l'audit, pour limiter les entrées journal, on ne log normalement que les echecs ou alors on limite fortement l'audit sur certains fichiers car le nombre d'accès reussi peut etre de plusieurs centaines par minute. L'audit marche très bien, il faut juste le configurer correctement selon les besoins

tomo0013 · 19/03/2008, 12h08

j'ai occasionellement des images mais pas de vidéo dans mon répertoire.
le pire, c'est l'observateur qui m'annonce des répertoires et des fichiers que je n'ai jamais ouvert ...

Mon besoin est principalement d'auditer les réussites, pour pouvoir effectué une tracabilité des évenements sur les répertoires partagés. Ce qui permettrait la déresponsabilisation du SI en cas de sinistre et l'avance de preuve credible.

Microsoft préconise de bien configurer l'audit d'evenement ... J'aimerai bien, mais je ne trouve vraiment aucune ressource à ce sujet :s

Je ne peut me permettre d'annoncer a mes supérieurs que l'audit est mis en place avec les résultats de la phase de test. Il n'y a aucune credibilité, et pire meme, certaines entrées de l'obs d'ev, sont completement fausses.

Existe t'il un outil tiers (payant ou pas) permettant de répondre à mon besoin ??

17/03/2008, 11h49	#1
tomo0013 Membre régulier Inscription : juillet 2005 Messages : 195 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 195 Points : 77 Points : 77	Recherche tuto pour mise en place d'audit sur win2003. Bonjour à toutes & à tous, Si je poste une nouvelle discution, c'est que j'ai deja bien cherché sans résultat ... Je suis actuellemenent en train de mettre en place la fonctionnalité d'audit de winodws 2003 (sur un domaine w2003 biensur), mais je ne trouve pas de documentation ou de tuto sur cette fonctionnalité. Qlqn aurait'il des infos la dessus ? Merci d'avance. Thomas.
	00

17/03/2008, 15h07	#2
Civodul4 Membre Expert Inscription : mai 2003 Messages : 2 133 Détails du profil Informations forums : Inscription : mai 2003 Messages : 2 133 Points : 2 239 Points : 2 239	http://support.microsoft.com/kb/814595 __________________ Merci de lire les règles du forum ainsi que le mode d'emploi du forum Merci de penser à : ! Il y a 10 types de personnes, ceux qui comprennent le binaire et les autres ...
	00

17/03/2008, 16h47	#3
tomo0013 Membre régulier Inscription : juillet 2005 Messages : 195 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 195 Points : 77 Points : 77	Merci CIVODUL4, mais en effet c'est la seul procédure que j'ai trouvé sur l'audit d'evenement. Si qlqn a autre chose je suis prenneur, car on peut pas dire que ce lien la m'est réellement aidé.
	00

19/03/2008, 11h42	#4
tomo0013 Membre régulier Inscription : juillet 2005 Messages : 195 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 195 Points : 77 Points : 77	Je relance la discution! voici toutes les informations que j'ai trouvé au sujet de l'audit d'evenement : https://www.microsoft.com/france/tec.../secmod50.mspx http://www.microsoft.com/france/tech...secmod117.mspx http://support.microsoft.com/kb/814595 Autant dire pas grand chose ... Tout pragmatique que je suis, j'ai donc mis en place une phase de test tres simpliste : Activation de l'audit sur "l'acces aux objets" dans une GPO. Puis par le biais de propriété du répertoire partagé que je veux auditer --> onglet "sécurité" --> bouton "parametres avancés" --> Onglet "Audit" --> j'ajoute un utilisateur, et je valide l'ensemble des evenements en réussite et en échec. voir screen ci-dessous: Je descend les gpo par "gpupdate /force" sur mon serveur de fichier qui contient le répertoire partagé audité, et à partir de mon poste de travail, je navigue dans ce répertoire, j'ouvre un fichier, je le referme, j'en réouvre un autre, je fais une modif, j'enregistre et je referme. En allant analyser l'observateur d'evenement, je m'appercoit bien malgré moi que j'ai beaucoup trop d'entrées pour pouvoir faire une recherche correct. De plus ces entrées sont completement incohérentes et fausses ... en effet, l'observateur mentionne des ouverture de fichier que je n'ai pas effectué, 30-40 ouvertures du meme répertoire, ... de plus, je ne retrouve pas de trace du fichier que j'ai modifié et enregistré ... ... ... .... ..... Entre le manque de ressource et l'incohérence des résultats, je commence a douter fortement de la crédibiité de l'audit d'evenement de microsoft ... Si qlqn pouvait me venir en aide,ou simplement me témoigner son expérience positive à ce sujet j'en serai vraiment ravi ! Merci d'avance.
	00

19/03/2008, 12h08	#6
tomo0013 Membre régulier Inscription : juillet 2005 Messages : 195 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 195 Points : 77 Points : 77	j'ai occasionellement des images mais pas de vidéo dans mon répertoire. le pire, c'est l'observateur qui m'annonce des répertoires et des fichiers que je n'ai jamais ouvert ... Mon besoin est principalement d'auditer les réussites, pour pouvoir effectué une tracabilité des évenements sur les répertoires partagés. Ce qui permettrait la déresponsabilisation du SI en cas de sinistre et l'avance de preuve credible. Microsoft préconise de bien configurer l'audit d'evenement ... J'aimerai bien, mais je ne trouve vraiment aucune ressource à ce sujet :s Je ne peut me permettre d'annoncer a mes supérieurs que l'audit est mis en place avec les résultats de la phase de test. Il n'y a aucune credibilité, et pire meme, certaines entrées de l'obs d'ev, sont completement fausses. Existe t'il un outil tiers (payant ou pas) permettant de répondre à mon besoin ??
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email