Аудит локальной системы
Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий операционной системы. После включения аудита операционная система Windows ХР начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Безопасность) можно просматривать с помощью оснастки Просмотр событий. В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия. Настройка аудита может выполняться как в один, так и в два приема:
1. Сначала его следует активизировать с помощью оснастки Локальная политика безопасности (Local Security Settings) или Групповая политика (Group Policy). (По умолчанию аудит отключен, поскольку он несколько снижает производительность системы.) При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий этой операции достаточно, и их регистрация начинается немедленно.
2. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется с помощью Редактора списков управления доступом (АCL) в окне свойств этих объектов. Для разных объектов — файлов, реестра или объектов каталога Active Directory — используемый при этом пользовательский интерфейс будет непринципиально различаться.
Для того чтобы иметь возможность настраивать аудит, необходимо иметь права администратора.
Активизация аудита
Для активизации аудита на изолированном компьютере:
1. Запустите оснастку Локальная политика безопасности (Local Security Setting). Можно также воспользоваться оснасткой Групповая политика (Group Policy) (введите в командной строке gpedit.msc).
2. В окне структуры откройте узел Локальные политики | Политика аудита (Local Polcies | Audit Policy).
3. На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита (N0 Auditing). Для включения аудита следует изменить значения нужных параметров. Выполните двойной щелчок на устанавливаемой политике аудита. Появится диалоговое окно, с помощью которого можно разрешить аудит. В группе Вести аудит следующих попыток доступа (Audit hese attemts установите флажки Успех (Success) или Отказ (Failure), или оба.
4. Нажмите кнопку ОК.
Подобную операцию следует повторить для тех политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, флажки Успех (Success и Отказ (Failure) следует снять.
Настройка и просмотр параметров аудита для папок и файлов
Чтобы настроить, просмотреть или изменить параметры аудита файлов и папок:
1. В окне программы Проводник (Windows Ехр1огег) установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства (Properties). В окне свойств папки или файла перейдите на вкладку Безопасность (Security).
На вкладке Безопасность (Security) нажмите кнопку Дополнительно (Advansed) и затем перейдите на вкладку Аудит (Auditing).
Если вы хотите проводить аудит для пользователя или группы, на вкладке Аудит (Auditing) нажмите кнопку Добавить (Add). Появится диалоговое окно Выбор: Пользователи или Группы (Select Users or Group). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно Элемент аудита (Auditing Entry. Здесь вы сможете установить все требуемые параметры аудита. В списке Применять (Арр1у onto) укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В окне Доступ (Ассеsse) необходимо указать, какие события нужно отслеживать: окончившиеся успешно (Успех (Successful)), неудачно (Отказ (Failed)) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Арр1у these auditing entries to objects/or containers within this container only) определяет, нужно ли распространять введенные вами настройки аудита на файлы и папки, находящиеся только в выбранной папке. По умолчанию аудит будет распространяться на все вложенные объекты. В противном случае установите этот флажок (или выберите в списке Применять (Арр1у опto) опцию Только для этой папки) (см. также следующий раздел). Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все диалоговые окна.
Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Изменить (Edit). Опять появится окно Элемент аудита (Auditing entries). Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений закройте все окна свойств.
Область действия настроек аудита
Аудит, установленный для родительской папки, автоматически наследуется всеми дочерними папками и файлами. Это поведение можно изменять. Если на вкладке Аудит (Auditing) какая-нибудь строка в поле Элементы аудита (Auditing entries) имеет значение Родительский объект (Parent Object) в столбце Унаследовано от (Inherited From) и кнопка Удалить (Remov) недоступна, это значит, что данные настройки аудита унаследованы. В этом случае вы можете:
Изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.
Запретить наследование, сняв флажок Наследовать от родительского объекта применимые к дочерним объектам элементы аудита, добавляя их к я>-но заданным в этом окне (Inherit from parent the auditing entries that apply to child objects…).
Добавить другие записи аудита для выбранного объекта, нажав кнопку Добавить (Add). Эти настройки аудита могут, в свою очередь, наследоваться дочерними объектами этого объекта. В поле Элементы аудита (Auditing entries) новые записи будут иметь значение <не унаследовано> в столбце Унаследовано от.
Область действия аудита настраивается в окне Элемент аудита (Auditing entries), где в раскрывающемся списке Применять (Аррlу onto) можно выбрать—»глубину» распространения настроек аудита. Результирующее действие: течения, введенного в этом поле, зависит также от того, установлен или флажок Применять этот аудит к объектам и контейнерам только внутри этот контейнера. По умолчанию этот флажок снят.
Отключение аудита файлов и папок
Для отключения аудита файла или папки:
Откройте вкладку Аудит (Auditing) для требуемого файла или папки.
В поле Элементы аудита (Auditing entries) выберите нужную запись и нажмите кнопку Удалить (Remove). Аудит для соответствующего пользователя или группы вестись не будет. Если в этом поле не остается ни одной записи, это означает, что аудит данного файла или папки отключен полностью.
Если кнопка Удалить (Remove) недоступна, это значит, что настройки аудита наследуются от родительской папки.
Выполнение заданий по расписанию
В дополнение к командам AT системы Windows ХР располагают новым средством — планировщиком заданий. (Имеется также новая утилита командной строки — Schtaks.ехе, имеющая значительно больше функциональных возможностей по сравнению с AT.) С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором задаются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.
Задание сохраняется как файл с расширением job, что позволяет перемешать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.
Служба Планировщик заданий (Task Scheduler, имя Schedule) инсталлируется вместе с системой и автоматически запускается при ее загрузке. При помощи меню Дополнительно (Advanced) в окне планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий (команда Просмотр журнала (View Log)), в котором также фиксируются все ошибки, возникшие при запуске заданий.
Среди особенностей планировщика можно отметить:
удобный графический пользовательский интерфейс;
возможность программного доступа ко всем возможностям планировщика, включая страницы свойств;
создание новых заданий при помощи операции перетаскивания (dragand-drop) или Мастера планирования заданий (Scheduled Task Wizard).
Аудит доступа к файлам и папкам в Windows Server 2008 R2
04.05.2016
itpro
Windows Server 2008
комментарий 21
Для ведения аудита доступа к файлам и папкам в Windows Server 2008 R2, необходимо включить функцию аудита, а также указать папки и файлы, доступ к которым необходимо фиксировать. После настройки аудита, в журнале сервера будет содержаться информация о доступе и других событиях на выбранные файлы и папки. Стоит заметить, что аудит доступа к файлам и папкам может вестись только на томах с файловой системой NTFS.
Включаем аудит на объекты файловой системы в Windows Server 2008 R2
Аудит доступа на файлы и папки включается и отключается при помощи групповых политик: доменный политик для домена Active Directory либо локальных политик безопасности для отдельно стоящих серверов. Чтобы включить аудит на отдельном сервере, необходимо открыть консоль управления локальный политик Start -> All Programs -> Administrative Tools -> Local Security Policy. В консоли локальной политики нужно развернуть дерево локальный политик (Local Policies) и выбрать элемент Audit Policy.
В правой панели нужно выбрать элемент Audit Object Access и в появившемся окне указать какие типы событий доступа к файлам и папкам нужно фиксировать (успешный/ неудачный доступ):
После выбора необходимой настройки нужно нажать OK.
Выбор файлов и папок, доступ к которым будет фиксироваться
После того, как активирован аудит доступа к файлам и папкам, необходимо выбрать конкретные объекты файловой системы, аудит доступа к которым будет вестись. Так же как и разрешения NTFS, настройки аудита по-умолчанию наследуются на все дочерние объекты (если не настроено иначе). Точно так же, как при назначении прав доступа на файлы и папки, наследование настроек аудита может быть включено как для всех, так и только для выбранных объектов.
Чтобы настроить аудит для конкретной папки/файла, необходимо щелкнуть по нему правой кнопкой мыши и выбрать пункт Свойства (Properties). В окне свойств нужно перейти на вкладку Безопасность (Security) и нажать кнопку Advanced. В окне расширенных настроек безопасности (Advanced Security Settings) перейдем на вкладку Аудит (Auditing). Настройка аудита, естественно, требует прав администратора. На данном этапе в окне аудита будет отображен список пользователей и групп, для которых включен аудит на данный ресурс:
Чтобы добавить пользователей или группы, доступ которых к данному объекту будет фиксироваться, необходимо нажать кнопку Add… и указать имена этих пользователей/групп (либо указать Everyone – для аудита доступа всех пользователей):
Далее нужно указать конкретные настройки аудита (такие события, как доступ, запись, удаление, создание файлов и папок и т.д.). После чего нажимаем OK.
Сразу после применения данных настроек в системном журнале Security (найти его можно в оснастке Computer Management -> Events Viewer), при каждом доступе к объектам, для которых включен аудит, будут появляться соответствующие записи.
Альтернативно события можно просмотреть и отфильтровать с помощью командлета PowerShell — Get-EventLog Например, чтобы вывести все события с eventid 4660, выполним комманду:
UPD от 06.08.2012 (Благодарим комментатора Roman).
В Windows 2008/Windows 7 для управления аудитом появилась специальная утилита auditpol. Полный список типов объектов, на который можно включить аудит можно увидеть при помощи команды:
Как вы видите эти объекты разделены на 9 категорий:
- System
- Logon/Logoff
- Object Access
- Privilege Use
- Detailed Tracking
- Policy Change
- Account Management
- DS Access
- Account Logon
И каждая из них, соответственно, делиться на подкатегории. Например, категория аудита Object Access включает в себя подкатегорию File System и чтобы включить аудит для объектов файловой системы на компьютере выполним команду:
Отключается он соответственно командой:
Т.е. если отключить аудит ненужных подкатегорий, можно существенно сократить объем журнала и количества ненужных событий.
После того, как активирован аудит доступа к файлам и папкам, нужно указать конкретные объекты которые будем контролировать (в свойствах файлов и папок). Имейте в виду, что по-умолчанию настройки аудита наследуются на все дочерние объекты (если не указано иное ).
Все собранные события можно сохранять во внешнюю БД для ведения истории. Пример реализации системы: Простая система аудита удаления файлов и папок для Windows Server.
Предыдущая статья Следующая статья
Открытие и очистка журнала аудита в Discord
Пользователи редко когда задумывались о том, кто занимался созданием канала на интересующем сервере в программном обеспечении Discord. Чтобы узнать интересующую информацию, разработчиками было разработано журнал аудита в Дискорде. Что характерно, удалить журнал аудита в Дискорде и записанные данные невозможно.
Что такое журнал аудита
Каждый раз, когда пользователи совершают действия в программном обеспечении, они сохраняются в специально разработанном журнале аудита. Обратите внимание, срок хранения составляет 3 месяца, по истечении которого осуществляется автоматическое стирание. В программном обеспечении автоматически регистрируются сведения относительно:
- создания разрешения сервиса, включая удаление и обновление;
- создания каналов, стирания и обновления;
- разработки, удаления, модернизации эмодзи;
- блокировки пользователей за нарушением правил использования сервера, включая обновление пригласительных ссылок;
- разблокировки участников сообществ;
- формирования ролей, удаления и обновления;
- обновления серверов пользователями;
- истории периодичности обновления сервера;
- истории создания, удаления и обновления вебхуков;
- разработки, применения пользователями специализированных ботов.
Обратите внимание, чтобы получить исчерпывающую информацию из журнала аудита, пользователям требуется развернуть специально разработанную вкладку действий. Преимуществом специально разработанной функции считается наличие дополнительной опции фильтрации результатов поиска, интересующих отчетов. Чтобы воспользоваться журналом, достаточно перейти в одноименный раздел программного обеспечения.
Как найти и открыть
Чтобы открыть журнал аудита в Дискорде, пользователям требуется придерживаться определенной последовательности действий:
- Осуществляется запуск интересующего программного обеспечения.
- На следующем этапе требуется перейти в личный кабинет.
- Осуществляется выбор интересующего сервера.
- После этого выполняется переход в категорию внесения настроек интересующего канала.
- На следующем этапе из представленного списка пользователь нажимает вкладку «Журнал аудита».
Обратите внимание: зарегистрированные клиенты в программном обеспечении могут просматривать сформированные журналы аудита исключительно в случае, когда администратор предоставил права доступа. В противном случае функция недоступна по умолчанию. Об этом нужно помнить, чтобы избежать попадания в неприятную ситуацию с вытекающими негативными последствиями.
Как очистить журнал аудита в Дискорде
Изначально пользователям требуется знать, что очистить журнал аудита Дискорд невозможно согласно разработанным правилам программного обеспечения. Однако предусматривается стирание истории переписки с интересующим собеседником. Последовательность действий несложная и подразумевает под собой:
- Изначально пользователь запускает интересующее программное обеспечение.
- На следующем этапе требуется осуществить переход в интересующий текстовый канал, после чего необходимо навести курсор мыши на конкретного собеседника, обмен сообщения между которым планируется удалить из сервера. После этого нажимается права кнопка мыши для вызова диалогового окна с доступными функциями.
- Во вновь открывшейся форме требуется выбрать функцию «Забанить» и указать временной промежуток, за который пользователю требуется выполнить очистку информацию – к примеру, за последнюю неделю. После подтверждения сформированного запроса, интересующий абонент не сможет принимать участие в диалоге, о чем свидетельствуют многочисленные отзывы.
Обратите внимание, последовательность действий не вызывает сложностей и занимает 5 минут свободного времени.
Дискорд – специально разработанное программное обеспечение, которое предназначено для организации непрерывного общения. Зарегистрированные пользователи могут обмениваться текстовыми сообщениями и совершать аудио и видеозвонки.
Многочисленные отзывы пользователей указывают на понятный интерфейс, который исключает вероятность допущения ошибок с вытекающими негативными последствиями. Пользователи, которые приняли решение стать клиентами мессенджеры, должны завести личный кабинет, указав адрес электронной почты, уникальный логин и ключ доступа. При наличии дополнительных вопросов, всегда можно обратиться за помощью к специалистам службы поддержки, которые оказывают посильную помощь в круглосуточном режиме. Заявки обрабатываются в круглосуточном режиме, без выходных и праздничных дней.
Blog of Khlebalin Dmitriy
Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий операционной системы.
После включения аудита операционная система начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Security) можно просмотреть с помощью оснастки Event Viewer (Просмотр событий). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.
Настройка аудита может выполняться как в один, так и в два приема:
1. Сначала его следует активизировать с помощью оснастки Local Security Settings (Локальная политика безопасности) или Group Policy Object Editor (Редактор объектов групповой политики). При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий этой операции достаточно, и их регистрация начинается немедленно.
2. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется с помощью Редактора списков управления доступом (ACL). Для разных объектов — файлов, реестра или объектов каталога Active Directory — используемый при этом пользовательский интерфейс будет непринципиально различаться.
Примечание
Для того чтобы иметь возможность настраивать аудит, необходимо иметь права администратора.
В автономных системах Windows Server 2003 по умолчанию включен аудит событий регистрации в системе (logon events). На контроллерах домена под управлением Windows Server 2003 по умолчанию включен аудит большинства системных событий, за исключением доступа к объектам и процессам, а также событий использования привилегий.
Активизация аудита
Процедура активизации аудита одинакова для любых систем. На контроллерах домена нужно пользоваться оснасткой Domain Controller Security Policy. Для активизации аудита на изолированном компьютере:
1. Запустите оснастку Local Security Settings. Можно также воспользоваться оснасткой Group Policy Object Editor (введите в командной строке gpedit .msc).
2. В окне структуры откройте узел Local Policies | Audit Policy (Локальные политики | Политика аудита) (рис. 10.26).
Рис. 10.26. Настройка аудита на локальном компьютере
3. На правой панели появится список политик аудита. По умолчанию большинство из них имеет значение No auditing (Нет аудита). Для включения аудита следует изменить значения нужных параметров. Выполните двойной щелчок на устанавливаемой политике аудита. Появится диалоговое окно, с помощью которого можно разрешить аудит (см. рис. 10.26). В группе Audit these attempts (Вести аудит следующих попыток доступа) установите флажки Success (Успех) или Failure (Отказ), или оба.
4. Нажмите кнопку ОК.
Подобную операцию следует повторить для тех политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, флажки Success и Failure следует снять.
Настройка и просмотр параметров аудита для папок и файлов
Чтобы настроить, просмотреть или изменить параметры аудита файлов и папок:
1. В окне программы Windows Explorer установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Properties (Свойства). В окне свойств папки или файла перейдите на вкладку Security (Безопасность).
Внимание
Напомним, что аудит возможен только на томах NTFS.
2. На вкладке Security нажмите кнопку Advanced (Дополнительно) и затем перейдите на вкладку Auditing (Аудит) (рис. 10.27).
Рис. 10.27. В этом окне можно настроить параметры аудита для выбранной папки
3. Если вы хотите проводить аудит для пользователя или группы, на вкладке Auditing нажмите кнопку Add (Добавить). Появится диалоговое окно Select Users, Computers, or Groups (см. рис. 4.6). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно Auditing Entry (Элемент аудита) (рис. 10.28).
Рис. 10.28. В этом окне задаются события, аудит которых будет вестись для выбранного пользователя или группы
Здесь вы сможете установить все требуемые параметры аудита. В списке Apply onto (Применять) укажите, где следует выполнять аудит (этот список доступен только для папок). В окне Access (Доступ) необходимо указать, какие события нужно отслеживать: окончившиеся успешно (Successful!, Успех), неудачно (Failed, Отказ) или оба типа событий. Флажок Apply these auditing entries to objects and/or containers within this container only (Применять этот аудит к объектам и контейнерам только внутри этого контейнера) определяет, распространяются ли введенные вами настройки аудита на файлы и папки, находящиеся только в выбранной папке (по умолчанию флажок не установлен). В противном случае установите этот флажок (или выберите в списке Apply onto опцию This folder only (Только для этой папки)). Это позволит не выполнять аудит для тех дочерних объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все диалоговые окна.
4. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Edit (Изменить). Опять появится окно Auditing Entry. Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений закройте все окна свойств.
Область действия настроек аудита
Аудит, установленный для родительской папки, автоматически наследуется всеми дочерними папками и файлами. Это поведение можно изменять. Если на вкладке Auditing (Аудит) какая-нибудь строка в поле Auditing entries (Записи аудита) имеет значение, отличное от <not inherited> (не унаследовано), в столбце Inherited From (Наследовано от) и кнопка Remove (Удалить) недоступна, это значит, что данные настройки аудита унаследованы. В этом случае вы можете:
- изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами;
- запретить наследование, сняв флажок Allow inheritable auditing entries from the parent to propagate to this object and all child objects (Переносить наследуемый от родительского объекта аудит на дочерние объекты);
- добавить другие записи аудита для выбранного объекта, нажав кнопку Add. Эти настройки аудита могут, в свою очередь, наследоваться дочерними объектами этого объекта. В поле Auditing entries новые записи будут иметь значение <not ingerited> (не унаследовано) в столбце Inherited From.
Область действия аудита настраивается в окне Auditing Entry, где в раскрывающемся списке Apply onto можно выбрать «глубину» распространения настроек аудита. Результирующее действие значения, введенного в этом поле, зависит также от того, установлен или нет флажок Apply these auditing entries to objects and/or containers within this container only. По умолчанию этот флажок снят. В табл. 10.8 и 10.9 показано, как настройки аудита действуют в случае, когда данный флажок соответственно снят и установлен. Как можно видеть, его состояние определяет значения последних двух столбцов этих таблиц: при установленном флажке никакие проверки не распространяются на содержимое вложенных папок.
Таблица 10.8. Действие настроек аудита при снятом флажке Apply these auditing entries to objects and/or containers within this container only
Значения в списке Apply onto | Выполняется аудит текущей папки | Выполняется аудит дочерних папок текущей папки | Выполняется аудит файлов в текущей папке | Выполняется аудит всех дочерних папок | Выполняется аудит файлов во всех дочерних папках |
This folder only (Только для этой папки) |
+ | ||||
The folder, subfolders and files (Для этой папки, ее подпапок и файлов) |
+ | + | + | + | + |
This folder and subfolders (Для этой папки и ее подпапок) |
+ | + | + | ||
This folder and files (Для этой папки и ее файлов) |
+ | + | + | ||
Subfolders and files only (Только для подпапок и файлов) | + | + | + | + | |
Subfolders only (Только для подпапок) |
+ | + | |||
Files only (Только для файлов) | + | + |
Таблица 10.9. Действие настроек аудита при установленном флажке Apply these auditing entries to objects and/or containers within this container only
Значения в списке Apply onto | Выполняется аудит текущей папки | Выполняется аудит дочерних папок текущей папки | Выполняется аудит файлов в текущей папке | Выполняется аудит всех дочерних папок | Выполняется аудит файлов во всех дочерних папках |
This folder only (Только для этой папки) |
+ | ||||
The folder, subfolders and files (Для этой папки, ее подпапок и файлов) |
+ | + | + | ||
This folder and subfolders (Для этой папки и ее подпапок) | + | + | |||
This folder and files (Для этой папки и ее файлов) |
о | + | |||
Subfolders and files only (Только для подпапок и файлов) | + | + | |||
Subfolders only (Только для подпапок) |
+ | ||||
Files only (Только для файлов) | + |
Отключение аудита файлов и папок
Для отключения аудита для некоторого файла или папки:
1. Откройте вкладку Auditing (Аудит) для требуемого файла или папки.
2. В окне Auditing entries (Элементы аудита) выберите нужную запись и нажмите кнопку Remove (Удалить). Аудит для соответствующего пользователя или группы вестись не будет. Если в этом поле не остается ни одной записи, это означает, что аудит данного файла или папки отключен полностью.
Примечание
Если кнопка Remove (Удалить) недоступна, это значит, что настройки аудита наследуются от родительской папки.