Auditoria de arquivos – Como saber quem deletou os arquivos da pasta?

Muitos me perguntam como fazer para saber quem deletou os arquivos de um pasta. Isso é bem simples no Windows 2008 R2.

Neste vídeo, eu ensino como criar a auditoria para registrar os arquivos e pastas deletados e ainda mostro como criar uma visualização fácil com o event viewer do Windows 2008 R2.

Segue o link para baixar:

http://www.rafaelbernardes.com.br/wms/auditoria.rar

Conheça também uma versão paga de outro produto:

http://cooperati.com.br/2015/02/27/instalando-lepideauditor-for-file-server-no-windows-server/

 

E aproveito para perguntar. Preferem baixar os arquivos de vídeo-aula ou assistir online?

  • AFONSO NAZARIO

    Boa noite!
    Um amigo de TI “BRUNO CRUZ”, me indicou seu site, pois estava com problemas de arquivos e pastas deletadas, e não sabia como resolver, graças a esse seu vídeo de “Auditoria de Arquivos”, agora posso ter controle total dos mesmos. Valeu muito pela informação!
    O seu site está nota 10, pois o conteúdo apresentado nele, tem grande valia, espero no futuro poder somar com alguma informação.
    Não sei se vc pode me ajudar, mas estou com problema de restrição a disco removível via GPO, com o servidor Windows Small Business Server 2008 e as estações em Windows XP. Qd estou logado com um usuário administrador, consigo o bloqueio, mas qd estou como usuário do domínio, não consigo bloqueá-lo. Abaixo segue as linhas de bloqueio que tentei, tanto para o computador como para o usuário via GPO.
    COMPUTADOR: GERENCIAMENTO DE DIRETIVA DE GRUPO/ OU/ GPO-DISCO REMOVIVEL/ EDITAR/ CONFIGURAÇÕES DO COMPUTADOR/ DIRETIVAS/ MODELOS ADMINISTRATIVOS/ SISTEMAS/ INSTALAÇÕES DE DISPOSITIVOS/ RESTRIÇÕES DE INSTALAÇÃO DE DISPOSITIVOS/ IMPEDIR A INSTALAÇÃO DE DISCOS REMOVIVEIS.
    USUÁRIO: GERENCIAMENTO DE DIRETIVA DE GRUPO/ OU/ GPO-DISCO REMOVIVEL/ EDITAR/ CONFIGURAÇÕES DO COMPUTADOR/ DIRETIVAS/ MODELOS ADMINISTRATIVOS/ SISTEMAS/ ACESSO DE ARMAZENAMENTO REMOVIVÉL/ TODAS AS CLASSES DE ARMAZENAMENTO REMOVIVÉL: NEGAR….
    Mas sem sucesso, pois ao editar a GPO, diz que para o correto funcionamento da mesma o sistema operacional tem que obedecer os requisitos mínimos como: Windows vista em diante, logo não funcionaria com o XP.
    Desde já agradeço sua atenção no aguardo de um breve retorno.
    Atenciosamente,
    Afonso Nazário
    STI – Soluções em Teleinformática
    Representante Autorizado Siemens Telecomunicações

    • Bernardes

      Amigo,

      Faz tempo que não opero um Windows XP. Na última vez eu fiz isso por uma entrada de registro. O único problema é que ela só bloqueava novos pendrives. (plugados após a diretiva de registro)

      Vê se te ajuda esse artigo: http://diaryproducts.net/about/operating_systems/windows/disable_usb_sticks

    • Ou você pode usar o Varonis DatAdvantage e ter um período de retenção de pelo menos 180 dias sem precisar ativar os Logs nativos do Windows 🙂

      • Se puder ceder uma licença para o CooperaTI eu ficarei feliz em fazer uma avaliação em vídeo do produto! (depois a licença será sorteada)

        • Rafael, desculpe a demora.
          Tive que negociar com o pessoal de fora essa licença.

          Eu posso ceder uma licença de 20 dias para vocês e uma de 120 dias para algum concurso/sorteio.

          Me envie um email para combinarmos os detalhes.

          Abraços,
          Bruno Tarasco

  • Salvador Ramos

    Bom material, bem eleaborado em professor!!!

    • Bernardes

      Muito obrigado!

  • Juliano

    Poderia postar novamente o viseo pois o mesmo não carrega até o fim Obrigado

    • Acabei de testar e está OK! Assisti até o final.

  • Renato

    Boa tarde Rafael,

    O link para Download do vídeo está quebrado ou nao está funcionando. Poderia postar novamente por favor.

    Parabéns pela postagem,

    Obrigado!

  • Marcos Paulo Fagundes de Lima

    Rafael parabéns pelo video.

    Ficou muito bem explicado e inclusive abre novas possibilidades no refino de logs no windows Server 2008 R2!!

    Parabéns mesmo! é de muita valia.

  • Claudia Coutinho

    Olá Rafael!
    Parabéns pelo vídeo, além de ser bem elaborado você tem didática, o que facilita muito.
    Estou implantando a auditoria de pastas e arquivos aqui no trabalho, seu vídeo ajudou bastante, os logs de eventos de acesso ao objeto estão sendo registrados, porém, o evento que registra o log que indica que o arquivo foi deletado não aparece.
    O que pode estar acontecendo?
    Desde já agradeço.

    Cláudia.

    • Olá,

      Tem que seguir a dica certinho para funcionar. Depois de habilitar a diretiva para acesso a objetos, tem que habilitar a auditoria nos devidos objetos, ou seja, as pastas!

  • Claudia Coutinho

    Olá! Descobri o problema. Habilitei a auditoria no servidor de arquivos. Até então estava fazendo isso no servidor AD e via police indicando o servidor de arquivo. Depois de ter habilitado localmente deu certo.

    • Muito obrigado pelo feedback. Esses comentários poderão ajudar muita gente.

  • Claudia Coutinho

    Agradeço sua atenção e rapidez na resposta do comentário.

    Obrigada

  • Fernando Durbán

    Ótima dica!!!! Parabéns!!!

    Só tenho uma dúvida. Caso o meu Servidor de Domínio seja o Servidor de Arquivos, como faço para dividir ele, para que não precise auditar todas as máquinas do domínio?

  • Leandro Nunes

    Rafael,
    Parabéns pelo tutorial!
    Só uma duvida agora, como posso programar para ser feito de modo automático o backup dos logs de evento? Pois se o log que estiver em execução for muito grande, pode gerar lentidão no sistema.

    Obrigado!

  • Amigo eu fiz aqui e deu tudo certinho so que “avisando que sou leigo to aprendendo agora” assim motra la foi deletado tal aquivo de tal pasta exemplo d:arquivos\corew\desenho.cdr mais ai mostra o usuario foi o desenhista ne so que temnho varias maquinas logadas como desenhista como faço pra saber pelo numer de ip ou nome da maquina sei la tem como??

    aproposito seu post é de grande ajuda pra muita gente parabens!!!!!!!!!!!

    • Boa pergunta,
      Acho que simplesmente não dá. O Windows é orientado a usuário e não a IP.

  • Thiago Rodrigues

    Rafael Boa Tarde,

    Caro, é o seguinte tem alguma forma de conseguir gravar apenas os logs do evento 4663 e salva-los em algum outro local, porque eu tenho muitos usuários e com isso meu log so na parte da manhã chega a 500 MB eu queria gravar apenas esse evento outra pergunta ex: se um usuário abrir um arquivo ex : .docx e fizer uma alteração e fechar o documento vai pro meu log de auditoria como deletado, tem alguma forma de auditar apenas arquivos realmente excluídos ou deletados. Agradeço a atenção

    • Você pode filtrar o evento para o exato que você deseja, talvez diminua o número de falsos-positivos. E também pode mudar o local de armazenamento dos LOGs, mas não me recordo se dá para fazer isso somente em um filtro.

      O que eu faço (quando não tem system center ou qq outro manager) é separar uma máquina para receber todos os LOGs dos servidores.

  • André O. Andrade

    No link abaixo, existe o significado de alguns EventIDs:
    http://support.microsoft.com/kb/977519/pt-br

    (Descrição de eventos de segurança no Windows 7 e no Windows Server 2008 R2)

  • Gustavo

    Consegui implementar a auditoria de acesso a objetos aos arquivos deletados no meu servidor, porem gostaria de saber também quem moveu os arquivos da rede, como devo prosseguir? Alguém conhece algum software que interpreta logs do Event Viewer?

    • Oi Gustavo,
      Você pode sim rastrear a movimentação de arquivos pela rede. Mas você vai ter que descobrir o código do evento para poder criar uma exibição personalizada. Eu recomendo fazer testes observando o LOG do Windows. É assim que faço para descobrir os códigos que preciso.

      E um software legal que pode lhe ajudar com LOGs é o Kiwi. Acho que é da Solar Winds.

      • Gustavo

        Rafael, em primeiro lugar gostaria de agradecer sua atenção referente as minhas dúvidas.
        Tentei observar os logs, mas quando renomeio ou recorto os arquivos para outras pastas é gerado um LOG ID 4663 como se o arquivo fosse deletado e não é gerado nenhum log diferente.

  • Luiz Dav

    Onde eu baixo essa video Aula?

  • Max

    Boa tarde!
    Parabens pelo Site, Eu trabalho com o Server 2008 R2 e implantei aauditoria conforme seu video, a primeiro momento funcionou mas depois de algum tempo( minutos) a opção esta desmarcada e os log nao sao salvos , pode me ajudar ?

    Att

    • Fernando Durbán

      Também quero baixar a vídeo aula. Podem “reupar” o vídeo?

      • Como assim “reupar”?
        Está aqui ó: http://youtu.be/HKPqC2Cbf7w

        • Fernando Durbán

          Muito Obrigado……
          Antes não estava entrando no vídeo, não sei se era o PC ou o youtube! Obrigado novamente!!

  • O link do arquivo Rar parece nao estar disponivel…

  • Paulo Pesini

    fiz o procedimento e funcionou perfeitamente com windows 7, porem com o XP ele loga que foi deletado, mas nao mostra o usurio que deletou.

  • Caro Bernardes, bom dia.

    Qual ocupação em disco dos logs? Sabe informar se ocupa muito disco?

    Abs e ótimo post, me ajudou a explicar uma situação aqui na empresa,

    • Olá, que bom que ajudei.

      Você mesmo pode definir o tamanho do LOG e até a rotatividade. Está em configurações no próprio visualizador de eventos.

  • Marcos.Padilharcos

    tenho um problema em minha rede, tenho um micro que esta gravando um executavel em todas as pastas compartilhadas da rede, habilitei a auditoria, mas como é uma pasta publica consegui identificar que o horário em que foi feito a escrita do arquivo, tem uma forma de saber qual PC realizou esta escrita?

    • No log é possível ver qual o usuário fez a gravação, não serve para ti?

      E esse comportamento é de vírus, melhor começar a pensar em uma solução por essa lado. Tenho uma dica simples para te ajudar, crie uma pasta com o nome da pasta que o vírus coloca na rede (e uma outra com o nome AUTORUN), com acesso negado para todos. Vai evitar a propagação de conteúdo indevido.

  • Boa tarde,

    Eu fiz o procedimento no servidor da minha empresa e deu certo. Porém, eu uso aqui um Storage NAS da Seagate Black Armor 400. Quando vou nas propriedades do compartilhamento e adiciono as opções de auditoria, ele volta a ficar em branco. Como se não ativasse.

    Você sabe algum procedimento específico para fazer meu servidor auditar a unidade compartilhada do NAS?

    Desde já, muito obrigado.

  • Bom dia, tenho 2 servidores 2008, mas meus arquivos ficam num Storage Network (NAS)da Seagate, gostaria de saber c é possivel criar esse log de acesso e arquivos neste storage. obrigado!

    • Se o Windows controla o compartilhamento desse NAS, funciona 100%!

  • Ronald

    Bom dia

    Muito obrigado pelo vídeo, fiz todos os passos, e está rodando bem aqui na empresa, só que os logs de arquivos deletados que eu fiz um separado apenas para ver quem deletou os arquivos, e esse log dura apenas um dia, gostaria de armazenar pelo menos uns 3 dias de log, como eu aumento esse registro?

  • RODRIGO

    Bom dia,

    Tenho a impressão que quando um arquivo é aberto é gerado um arquivo.tmp e o mesmo aparece no log como deletado. Existe uma maneira de filtrar melhor esses logs?

    Obrigado.

  • PEDRO GIANNERINI

    Toda vez que busco uma solução para problemas no google, vem o COOPERATI, parabéns para vocês, estão de parabéns, sempre resolvendo problemas e ensinando novas alternativas

  • Luiz claudio

    Parabens pelo video primeiramento. Muito bom mesmo. Gostaria de saber como analisar logs mais antigos, desde que qdo precisei de um log antigo nao achei pois parece que ele foi substituido. Outra questão seria se tem como bloquear uma pasta para nao ser excluida para um grupo, porém suas subpastas poderiam ser excluidas.

    Grato

  • Diego

    Amigo, eu tenho um server 2008 R2 com auditoria habilitado da mesma forma em que você fez no video, porém como eu faço para gerenciar esses logs, ou seja manter armazenado para um suposta pesquisa de algum arquivo que foi deletado a 15 dias atrás, eu já deixei a configuração do Log para quando estiver lotado não reciclar ai eu tenho que ficar fazendo manualmente o processo de salvar os logs e depois limpar o Log para liberar espaço para entrada dos novos registros.

    Gostaria de saber se existe um jeito de fazer esse processo de backup dos eventos automaticamente?

  • Samuel Santo Silvério

    Boa tarde Rafael Bernardes.
    Eu criei os eventos conforme você orientou e deu certinho.

    Porém aconteceu algo muito estranho.

    Essa semana sumiu várias pastas do servidor. Quando eu visualizo nos eventos, aparece Account Name: SRVDC$.

    OBS: o hostname do servidor de arquivos é SRVDC, mas não tenho nenhum usuário com este nome.

    • Não foi uma operação do próprio servidor? Uma BAT ou algo assim?
      As vezes, até mesmo vírus consegue executar como serviço.

  • Tiago Baldo

    Rafael,

    Eu consigo realizar uma auditoria de Falha não permitindo a exclusão de um determinado diretório, mesmo o usuário ou grupo tendo permissões de leitura, gravação e execução?

    • Claro, basta pegar fazer uma view pelo evento que é gerado quando alguém tenta executar a ação determinada.

  • Carlos Alexandre

    Boa tarde, eu habilitei para gerar log dos colaboradores que apagam pastas e arquivos conforme o tutorial, sendo que estou tendo um problema, os logs só são gerados do dia, tipo hoje é dia 25/02/2015, ele só está mostrando o log de hoje, não mostra o logue de antes disso e já tem um mês que habilitei esse serviço. Poderia me ajudar?

    • Giander Mega

      Carlos, bom dia!
      Você teve alguma resposta ou consegui resolver esse problema.
      Estou com o mesmo caso.
      Abs

  • ROGERIO

    Boa noite.
    Será possível um administrador de sistemas, com permissões totais, conhecimento das bases de dados e ficheiros de logs, bem como acesso a todas as máquinas, conseguir alterar ficheiros de logs sem que essas alterações possam ser rastreadas?
    Obrigado antecipadamente.

  • Andre

    Bom dia!!!

    Eu gostaria de saber se estes log server também apenas para registrar quais usuarios acessaram determinado arquivo.
    Caso:
    Tenho um video de treinamento numa pasta do servidor e gostaria de saber quais usuarios visualizaram este video.

  • Fabiano Mello

    Excelente Rafael!! Funcionou perfeitamente. Obrigado!!

  • Fabiano G. Rocha

    Rafael, muito bom o video…. mas o meu só esta aparecendo o Event ID 5140/Pid 4… onde estou errando?

  • Guilherme Otto

    Parabéns pelo vídeo, mas vale complementar que em ambientes windows, quando existe a tentativa de acesso ao arquivo (clicar em deletar, mas depois cancelar), o evento 4663 registrará a ação DELETE, desta forma, para ter absoluta certeza de que o arquivo foi deletado, o windows irá gerar um evento chamado 4660, que irá dizer apenas o nome de usuário e a descrição que um objeto foi deletado.
    Desta forma, se comparar o horário exato do evento 4663 e 4660, poderemos assim confirmar que aquele usuário realmente deletou o arquivo.
    Abraço

    • Ótimo complemento Guilherme!

      Esse vídeo é bem antigo, eu já tenho outros mais atuais. Mas obrigado pela sua colaboração!

  • Heber

    Vi o Vídeo, mas quando vou habilitar a auditoria não consigo… as caixas estão desabilitadas e possui uma mensagem dizendo: Essa configuração talvez não seja imposta caso outra diretiva esteja configurada para substituir a diretiva de auditoria no nível de categoria.

    • Isso pode ser por causa de alguma diretiva de domínio. Lembra que eu citei que em domínio precisa ir pelo console de GPO.

  • Guilherme Barros

    Boa noite !!

    Me esbarro no mesmo problema do Heber. Tenho um domínio e faço as mesmas configurações pelo Group Policy, e mesmo assim não gera nenhum evento.
    Virtualizei um server 2008 R2, e pelo gpedit.msc funciona perfeitamente, vejo que o problema se encontra em uma rede com domínio. Ressalto que nesta mesma rede existe um Windows Server 2003, não acredito que o nível de funcionalidade esteja impactando neste procedimento.
    Qualquer ajuda neste quesito ficarei muito grato.

    Obrigado.

  • Manoel Ribas

    Meu amigo, fantástico o vídeo, mas meu problema é um pouco diferente, gostaria de saber quem copiou arquivos de uma pasta, via rede, ou mesmo local, qual o usuário logado, é possível?

    A idéia é evitar uma espionagem industrial ou algo assim

  • Paulo

    gostaria de saber como faço para ver quem copiou arquivos do meu servidor?? windows server 2008 … alguma ferramenta especifica?

  • Leandro Alves

    Minha dúvida não é pertinente ao assunto abordado, porém algo que até o momento estou sem solução.

    Mudamos o file server de uma máquina física windows server 2003 para 2012, utilizamos o robocopy e todas as permissões foram mantidas sem nenhum problema e os compartilhamentos realizados.

    Porém quando nossos clientes logam na rede, ainda assim a basta base é buscada no servidor antigo. Como posso fazer para solucionar este problema?

    Pastas como Publico, Departamento funcionam perfeitamente no servidor novo, apenas a pasta base que os clientes “teimam” a buscar no servidor antigo.

    • Ola Leandro,

      A pasta base é vinculada nas propriedades do usuário dentro do seu Active Directory. Revise de onde está puxando sua pasta base e desative-a.

  • Giander Mega

    Bom dia!
    Segui o vídeo e os logs começaram a ser gravados tudo certinho. Criei uma Custom View para facilitar a visualização tudo conforme explicado aqui no vídeo.
    O único problema é que eu só consigo ver os últimos logs, se eu fico atualizando ele só vai apresentando os últimos 25… 30 logs o resto some.
    Tentei alterar alguns filtros na Custom View mas sem sucesso.
    Alguém tem alguma ideia do que posso fazer?

  • André Fernando Pereira

    Bom dia,

    Estou com uma situação estranha aqui tenho um fileserver Windows 2012 R2, fiz via gpedit legal funciona, mas do nada some a marcação de exito de auditoria de objetos. Tentei forçar por GPO, mas mesmo assim ao entrar no gpedit para verificar, ele deixa apagado a auditoria de objetos e ela fica setada como sem auditoria.
    Já viram isso, como resolver?

  • Fred

    Ótimo !

  • Marcio Carvalho

    O meu funcionou em partes. Primeiro ele considera como deletados os arquivos renomeados e ou recortados para outras pastas. Outra situação é que estou percebendo que no outro dia não tem mais os logs do dia anterior e ficam apenas os logs do dia atual.

  • Edson Oliveira

    Sitar o windows num post referente ao samba sem comentários.
    Uso samba 3 e 4 tenho projetos que estão rodando a anos em clientes sem um probleminha.
    A MS tem seus méritos.. mas uso linux em tudo.

  • Edson Oliveira

    Uso o samba 3 e 4 a anos.
    Funciona perfeitamente.
    O conf do samba é simples de configurar e personalizar.