Централизованный аудит печати — Загрузка в базу данных


Цикл статей:

1.       Описание задачи и решения

2.       Сбор событий аудита

3.       Экспорт событий аудита в файл

4.       Загрузка в базу данных

5.       Создание отчёта

6.       Размещение отчёта на Sharepoint

7.       Дополнение 1: Powershell – системные журналы и особенности фильтров по времени

8.       Дополнение 2: Powershell – производительность работы с системными журналами

На этом этапе каждые сутки мы имеем один файл в формате CSV, который нужно загрузить в базу данных. Сделать это можно средствами самого SQL (SSIS или утилитой bcp) или скриптом Powershell. Решение с SSIS мощное, гибкое, но всё же это вещь в себе. Утилита bcp тоже не проста и, как минимум, требует установки на компьютер, где запускается скрипт. Поэтому используем Powershell.

Читать далее

Централизованный аудит печати — Экспорт событий аудита в файл


Цикл статей:

1.       Описание задачи и решения

2.       Сбор событий аудита

3.       Экспорт событий аудита в файл

4.       Загрузка в базу данных

5.       Создание отчёта

6.       Размещение отчёта на Sharepoint

7.       Дополнение 1: Powershell – системные журналы и особенности фильтров по времени

8.       Дополнение 2: Powershell – производительность работы с системными журналами

 

Как было уже сказано, события аудита быстро заполняют файл системного журнала. К тому же журнал в несколько сот мегабайт ощутимо медленно отображается в оснастке Event Viewer.

Поэтому сразу было ясно, что будет проблема с производительностью при обработке журнала событий.

Читать далее

Централизованный аудит печати — Сбор событий аудита


Цикл статей:

1.       Описание задачи и решения

2.       Сбор событий аудита

3.       Экспорт событий аудита в файл

4.       Загрузка в базу данных

5.       Создание отчёта

6.       Размещение отчёта на Sharepoint

7.       Дополнение 1: Powershell – системные журналы и особенности фильтров по времени

8.       Дополнение 2: Powershell – производительность работы с системными журналами

 

Сбор событий аудита

 

Описание Event Subscription:

Quick and Dirty Large Scale Eventing for Windows

Configure Computers to Forward and Collect Events

Читать далее

Централизованный аудит печати — Описание задачи и решения


 

Цикл статей:

1.       Описание задачи и решения

2.       Сбор событий аудита

3.       Экспорт событий аудита в файл

4.       Загрузка в базу данных

5.       Создание отчёта

6.       Размещение отчёта на Sharepoint

7.       Дополнение 1: Powershell – системные журналы и особенности фильтров по времени

8.       Дополнение 2: Powershell – производительность работы с системными журналами

Читать далее

Отключаем расширенную политику аудита


Не так давно мне нужно было отловить некоторые хитрые события связанные с аутентификацией на домен-контроллерах. Для решения этой задачи пришлось включить с помощью групповых политик так называемый расширенный аудит, который появился в Windows Server 2008 R2 и Windows 7. Можно настроить 53 события аудита! Есть где разгуляться!

Читать далее