четверг, 26 мая 2016 г.

ч1. Аудит сетевых файловых ресурсов / Audit network file shares

Добрый день, в этой заметке пойдет речь о централизованном аудите сетевых файловых ресурсах в большой организации.

Аудит представляет собой клиент-серверное приложение.

Сервер: MS SQL сервер, для хранения событий, с развернутым на нем Reporting Services, для отчетов аудита.

Клиент: Скрипт написанный на PowerShell который периодически просматривает встроенный журнал операций на файловых ресурсах, сортирует и конвертирует события в удобный формат. После чего подключается к серверной части (MS SQL server) и записывает в базу события.



Настройка Сервера:
Для работы необходимо создать Базу данных на сервере MS SQL
Описывать данный процесс не имеет смысл, инструкция по грамотному созданию баз данных на MS SQL сервере достойна отдельной статьи.
Перейдем сразу к вводным, есть MS SQL сервер "prm-test-sql" и база "audit_adm"

Перейдем к созданию рабочей таблицы в базе, для облегчения процедуры я подготовил пару запросов, которые необходимо выполнить в базе "audit_adm"

CREATE TABLE  audit_fs ( Ind int IDENTITY Primary Key, SubjectUserName nchar(100) COLLATE Cyrillic_General_CI_AS,  IpAddress char(20) ,ShareName nchar(100) COLLATE Cyrillic_General_CI_AS, ShareLocalPath nchar(250) COLLATE Cyrillic_General_CI_AS, RelativeTargetName nchar(2048) COLLATE Cyrillic_General_CI_AS, AccessMask char(20),DateEvent DateTime,SRV char(100));
CREATE INDEX ShareName ON audit_fs (ShareName)

Запрос создаст специально подготовленную таблицу для работы с клиентом (записи событий)
С настроенными колонками и индексами для оптимальной работы базы с отчетами.
Под итожим: сервер "prm-test-sql", база "audit_adm", таблица "audit_fs"

Что бы события не раздули базу до запредельных размеров, а событий будет очень много в большой организации, потребуется создать пере одическое задание по обрезке логов с периодом раз в сутки.


Запрос для обрезания логов на 180 дей:
delete From [audit_adm].[dbo].[audit_fs]  where DateEvent <= cast (dateadd (day, -180, GETDATE()) as DATE)

На этом моменте подготовка базы закончена, приступим к клинской части во второй части

Комментариев нет:

Отправить комментарий