Ayuda de watchDirectory > Extensiones > Auditar carpetas Windows
Auditar carpetas Windows - ¿Quién lo hizo?
Esta extensión de watchDirectory utiliza los eventos del registro de seguridad de Windows para controlar Quién está toqueteando sus archivos.Es necesario configurar Windows correctamente para que escriba "información de auditoría" en el registro de seguridad, de lo contrario watchDirectory no encontrará la información de auditoría.
Opciones de esta extensión
Operating system of monitored computer (Sistema operativo del equipo monitorizado)
Seleccionar el sistema operativo del equipo que se esté monitorizando. Esta extensión lee/interpreta los eventos del registro de seguridad,
siendo las anotaciones dentro del registro de eventos específicas de cada sistema operativo. Esta extensión utiliza "archivos de mapeo" para procesar correctamente
los registros de eventos de los diferentes sistemas operativos. Si su sistema operativo no está incluido, pruebe con alguno de los sistemas operativos
listados. Si ninguno de ellos funciona correctamente, vea cómo solicitar un nuevo archivo de mapeo.
Path Prefix to use... (Prefijo de ruta a usar)
Para algunos sistemas de archivo, Windows escribirá la infomación de auditoría en el registro de seguridad con un nombre de archivo diferente. Por ejemplo, al monitorizar la carpeta \\Servidor\Compartido\AlgunaCarpeta, la información en el registro de seguridad se mostrará a menudo como C:\CarpetaCompartida\AlgunaCarpeta. Para asegurar que watchDirectory pueda encontrar la entrada correcta en el registro de seguridad, watchDirectory necesita saber el "Prefijo de ruta" correcto.
Al hacer clic sobre el botón "Assistant" (Asistente), watchDirectory le ayudará a encontrar el prefijo de ruta correcto.
Write audit reports to this directory (Escribir informes de auditoría en esta carpeta)
Introducir el nombre de la carpeta existente donde watchDirectory debe escribir los informes de auditoría.
Los informes escritos por watchDirectory reciben nombres como "evento_567_nombrearchivo.txt".
567 es un número creciente asignado por watchDirectory, y se corresponde con el identificador del evento dentro del Histórico de tareas.
"nombrearchivo" es el nombre del archivo por el cual se crea este informe de auditoría.
Create a CSV file with this name (Crear un archivo CSV con el nombre)
De forma adicional, watchDirectory puede crear un archivo CSV (valor separado por comas "comma separated value") con todos los eventos.
Hacer clic sobre el botón Configure (configurar) para seleccionar los campos que se deben escribir en el archivo CSV.
Email those reports to me (Enviarme estos informes por correo electrónico)
De forma adicional, watchDirectory puede enviarle el informe de auditoría por correo electrónico.
Email address (Dirección de correo electrónico)
Introducir la dirección de correo electrónico a la que se deban enviar los informes. Se pueden usar los siguientes formatos:
- <juan@trespies.com>
Solo una dirección de correo - Juan Trespies<juan@trespies.com>
Una dirección de correo con un "nombre amigable" - <juan@trespies.com>;<maria@trespies.com>
Múltiples direcciones, separadas por un punto y coma ";"
Email Subject (Asunto del correo)
El asunto que se usará para los correos de alertas. Si se elige el envío de alertas de forma inmediata para cada evento, al asunto se le añadirá
también el nombre del archivo.
Send reports (Enviar informes)
Elegir cada cuándo se deben enviar los informes de auditoría.
Esta extensión utiliza la aplicación wdPostMan para el envío del correo electrónico en segundo plano. Se deberá configurar la aplicación wdPostMan primero.
Ejemplo de informe de auditoría
File/Directory C:\WUTemp\Disasm.log from 7/24/2005 10:41:31 AM to 7/24/2005 10:41:31 AM [2036] 7/24/2005 10:41:31 AM, Open File by GDPLAP\\Jeremy. Program C:\WINDOWS\explorer.exe. Permissions requested Delete, Read Attributes [2036] 7/24/2005 10:41:31 AM, Used a granted permission. Permission used Delete [2036] 7/24/2005 10:41:31 AM, Delete [2036] 7/24/2005 10:41:31 AM, Close
Las primeras 2 líneas identifican el archivo (C:\WUTemp\Disasm.log) y la marca fecha/hora de este informe.
El resto de líneas del informe empiezan con el número (del "handle" o manejador) de la operación de archivo entre [corchetes]. Normalmente empezarán con una operación
"Open" que indica quién accedió al archivo. En este ejemplo fue Jeremy desde el equipo GDPLAP.
Seguidamente se indica la aplicación que abrió el archivo (explorer), y el permiso que esa aplicación solicitó.
Las líneas que siguen a la operación "Open" para el mismo "handle" se escriben con sangrado hasta la operación "Close" correspondiente.