Discussion :

[tomo0013]

Bonjour à toutes & à tous,

Si je poste une nouvelle discution, c'est que j'ai deja bien cherché sans résultat ... Je suis actuellemenent en train de mettre en place la fonctionnalité d'audit de winodws 2003 (sur un domaine w2003 biensur), mais je ne trouve pas de documentation ou de tuto sur cette fonctionnalité.

Qlqn aurait'il des infos la dessus ?

Merci d'avance.

Thomas.

[Civodul4]

http://support.microsoft.com/kb/814595

[tomo0013]

Merci CIVODUL4, mais en effet c'est la seul procédure que j'ai trouvé sur l'audit d'evenement.

Si qlqn a autre chose je suis prenneur, car on peut pas dire que ce lien la m'est réellement aidé.

[tomo0013]

Je relance la discution!
voici toutes les informations que j'ai trouvé au sujet de l'audit d'evenement :
https://www.microsoft.com/france/tec.../secmod50.mspx
http://www.microsoft.com/france/tech...secmod117.mspx
http://support.microsoft.com/kb/814595

Autant dire pas grand chose ...

Tout pragmatique que je suis, j'ai donc mis en place une phase de test tres simpliste :
Activation de l'audit sur "l'acces aux objets" dans une GPO. Puis par le biais de propriété du répertoire partagé que je veux auditer --> onglet "sécurité" --> bouton "parametres avancés" --> Onglet "Audit" --> j'ajoute un utilisateur, et je valide l'ensemble des evenements en réussite et en échec.
voir screen ci-dessous:




Je descend les gpo par "gpupdate /force" sur mon serveur de fichier qui contient le répertoire partagé audité, et à partir de mon poste de travail, je navigue dans ce répertoire, j'ouvre un fichier, je le referme, j'en réouvre un autre, je fais une modif, j'enregistre et je referme.


En allant analyser l'observateur d'evenement, je m'appercoit bien malgré moi que j'ai beaucoup trop d'entrées pour pouvoir faire une recherche correct. De plus ces entrées sont completement incohérentes et fausses ... en effet, l'observateur mentionne des ouverture de fichier que je n'ai pas effectué, 30-40 ouvertures du meme répertoire, ... de plus, je ne retrouve pas de trace du fichier que j'ai modifié et enregistré ...
...
...
....
.....

Entre le manque de ressource et l'incohérence des résultats, je commence a douter fortement de la crédibiité de l'audit d'evenement de microsoft ... Si qlqn pouvait me venir en aide,ou simplement me témoigner son expérience positive à ce sujet j'en serai vraiment ravi !
Merci d'avance.

[Louis-Guillaume Morand]

l'observateur mentionne des ouverture de fichier que je n'ai pas effectué, 30-40 ouvertures du meme répertoire

si tu as un repertoire avec des images ou des videos, windows les ouvre pour toi pour effectuer les miniatures.


quant à l'audit, pour limiter les entrées journal, on ne log normalement que les echecs ou alors on limite fortement l'audit sur certains fichiers car le nombre d'accès reussi peut etre de plusieurs centaines par minute. L'audit marche très bien, il faut juste le configurer correctement selon les besoins

[tomo0013]

j'ai occasionellement des images mais pas de vidéo dans mon répertoire.
le pire, c'est l'observateur qui m'annonce des répertoires et des fichiers que je n'ai jamais ouvert ...

Mon besoin est principalement d'auditer les réussites, pour pouvoir effectué une tracabilité des évenements sur les répertoires partagés. Ce qui permettrait la déresponsabilisation du SI en cas de sinistre et l'avance de preuve credible.

Microsoft préconise de bien configurer l'audit d'evenement ... J'aimerai bien, mais je ne trouve vraiment aucune ressource à ce sujet :s

Je ne peut me permettre d'annoncer a mes supérieurs que l'audit est mis en place avec les résultats de la phase de test. Il n'y a aucune credibilité, et pire meme, certaines entrées de l'obs d'ev, sont completement fausses.

Existe t'il un outil tiers (payant ou pas) permettant de répondre à mon besoin ??