Bạn muốn theo dõi user thực hiện hành động gì trên File Server (xóa, sửa, tạo, rename,.. file/folder) nếu xem bằng log event trên Server thì rất khó nhìn vì thế hôm nay mình xin hướng dẫn các bạn sử dụng một công cụ là ManageEngine ADAudit Plus.
Ưu điểm: Free được 2 File Server, theo dõi, xem, xuất report một cách chi tiết, rõ ràng và chính xác. Ngoài chức năng theo dõi File Server thì ADAudit Plus còn có nhiều chức năng khác mình sẽ hướng dẫn trong các bài viết sau.
Nội dung:
1. Cài đặt ADAudit Plus
2. Cấu hình ADAudit Plus giám sát File Server
3. Xem và xuất report
Chi tiết:
1. Cài đặt ADAudit Plus
Xem yêu cầu phần cứng trước khi cài: https://www.manageengine.com/products/active-directory-audit/system-requirements.html
Trong bài viết này mình cài ADAudit Plus trên Windows 10. Máy này đã join domain và đặt IP tĩnh.
Tải file cài đặt: https://www.manageengine.com/products/active-directory-audit/download.html?topMenu
Tùy thuộc vào máy bạn 32bit hay 64bit mà tải về cho phù hợp.
Tiến hành cài đặt.
Next
Yes
Chọn đường dẫn lưu cài đặt nếu muốn thay đổi.
Next
Port truy cập http mặc định 8081, có thể đổi sang port khác nếu cần.
Next
Skip
Next
Đợi quá trình cài đặt khoảng vài phút
Start ADAudit Plus Server >> Finish
Cho phép Java chạy trên Domain networks
Gõ IP máy cài ADAudit Plus vào trình duyệt web với port 8081
User name: admin
Password default: admin
Login
Đổi mật khẩu đăng nhập
Chuyển http thành https
Restart lại ADAudit Plus
2. Cấu hình ADAudit Plus giám sát File Server
Thêm File Server vào ADAudit Plus
File Audit >> Windows File Server >> Add Server
Chọn File Server cần giám sát >> Next
Tick chọn các Folder trong File Server cần giám sát >> Next
Ở đây có 2 cách cài policy cho File Server: Áp GPO xuống hoặc cấu hình trực tiếp trên File Server, mình sẽ chọn cài trực tiếp trên File Server nên mình bỏ tick Object Access policy will... >> OK
Nếu lỗi Error - The RPC server is unavailable thì các bạn mở port trên File Server hoặc tắt Firewall.
Hoặc mở rule firewall
Bật 3 rule này lên
Sau khi tắt Firewall quay lại ADAudit Plus chọn File Server đó chọn Run Now thấy Status Success là được.
Các Folder hiện màu xanh lá cây là được.
Chỉnh Policy trên File Server cho phép giám sát
Log on vào File Server bằng Local Administrator
Vào Local Security Policy
Vào Advanced Audit Policy Configuration >> System Audit Policies... >> Object Access: Chỉnh Audit File Share, Audit File System, Audit Handle Manipulation thành Success and Failure.
Vào Local Policies >> Security Options: Enable mục Audit: Force audit policy subcategory...
Vào CMD chạy lệnh gpupdate /force
Gõ tiếp lệnh auditpol /get /category:*
3. Xem và xuất report
Khi muốn xem report đầy đủ thì các bạn chọn File Server >> Run Now để ADAudit Plus cập nhật log đến thời điểm hiện tại
Report theo danh sách user thực hiện hành động trên File Server
File Audit >> File Audit Reports >> Summary based on Users
Report hành động tạo File/Folder
File Audit >> File Audit Reports >> Files Created
Report hành động xóa File/Folder
File Audit >> File Audit Reports >> Files Deleted
Comments