Auditoria de arquivos – Como saber quem deletou os arquivos da pasta?
Bernardesrafael [youtube=http://www.youtube.com/watch?v=HKPqC2Cbf7w]
Muitos me perguntam como fazer para saber quem deletou os arquivos de um pasta. Isso é bem simples no Windows 2008 R2.
Neste vídeo, eu ensino como criar a auditoria para registrar os arquivos e pastas deletados e ainda mostro como criar uma visualização fácil com o event viewer do Windows 2008 R2.
Segue o link para baixar:
http://www.rafaelbernardes.com.br/wms/auditoria.rar
Conheça também uma versão paga de outro produto:
https://cooperati.com.br/2015/02/27/instalando-lepideauditor-for-file-server-no-windows-server/
E aproveito para perguntar. Preferem baixar os arquivos de vídeo-aula ou assistir online?
[polldaddy poll=4332207]
Vida Longa e Próspera! Eu sou o Rafael, um empreendedor em TI com uma vontade louca de transformar profissionais de TI em vencedores! Tenho todas as principais certificações técnicas que preciso e também sou premiado pela Microsoft como MVP (Most Valuable Professional) por 7 anos! Depois dá uma olhadinha na minha página do Facebook, fb.com/bernardes.rafael, lá eu realizo Lives todos os dias!
Boa noite!
Um amigo de TI “BRUNO CRUZ”, me indicou seu site, pois estava com problemas de arquivos e pastas deletadas, e não sabia como resolver, graças a esse seu vídeo de “Auditoria de Arquivos”, agora posso ter controle total dos mesmos. Valeu muito pela informação!
O seu site está nota 10, pois o conteúdo apresentado nele, tem grande valia, espero no futuro poder somar com alguma informação.
Não sei se vc pode me ajudar, mas estou com problema de restrição a disco removível via GPO, com o servidor Windows Small Business Server 2008 e as estações em Windows XP. Qd estou logado com um usuário administrador, consigo o bloqueio, mas qd estou como usuário do domínio, não consigo bloqueá-lo. Abaixo segue as linhas de bloqueio que tentei, tanto para o computador como para o usuário via GPO.
COMPUTADOR: GERENCIAMENTO DE DIRETIVA DE GRUPO/ OU/ GPO-DISCO REMOVIVEL/ EDITAR/ CONFIGURAÇÕES DO COMPUTADOR/ DIRETIVAS/ MODELOS ADMINISTRATIVOS/ SISTEMAS/ INSTALAÇÕES DE DISPOSITIVOS/ RESTRIÇÕES DE INSTALAÇÃO DE DISPOSITIVOS/ IMPEDIR A INSTALAÇÃO DE DISCOS REMOVIVEIS.
USUÁRIO: GERENCIAMENTO DE DIRETIVA DE GRUPO/ OU/ GPO-DISCO REMOVIVEL/ EDITAR/ CONFIGURAÇÕES DO COMPUTADOR/ DIRETIVAS/ MODELOS ADMINISTRATIVOS/ SISTEMAS/ ACESSO DE ARMAZENAMENTO REMOVIVÉL/ TODAS AS CLASSES DE ARMAZENAMENTO REMOVIVÉL: NEGAR….
Mas sem sucesso, pois ao editar a GPO, diz que para o correto funcionamento da mesma o sistema operacional tem que obedecer os requisitos mínimos como: Windows vista em diante, logo não funcionaria com o XP.
Desde já agradeço sua atenção no aguardo de um breve retorno.
Atenciosamente,
Afonso Nazário
STI – Soluções em Teleinformática
Representante Autorizado Siemens Telecomunicações
Amigo,
Faz tempo que não opero um Windows XP. Na última vez eu fiz isso por uma entrada de registro. O único problema é que ela só bloqueava novos pendrives. (plugados após a diretiva de registro)
Vê se te ajuda esse artigo: http://diaryproducts.net/about/operating_systems/windows/disable_usb_sticks
Ou você pode usar o Varonis DatAdvantage e ter um período de retenção de pelo menos 180 dias sem precisar ativar os Logs nativos do Windows 🙂
Se puder ceder uma licença para o CooperaTI eu ficarei feliz em fazer uma avaliação em vídeo do produto! (depois a licença será sorteada)
Bom material, bem eleaborado em professor!!!
Muito obrigado!
Poderia postar novamente o viseo pois o mesmo não carrega até o fim Obrigado
Acabei de testar e está OK! Assisti até o final.
Boa tarde Rafael,
O link para Download do vídeo está quebrado ou nao está funcionando. Poderia postar novamente por favor.
Parabéns pela postagem,
Obrigado!
Rafael parabéns pelo video.
Ficou muito bem explicado e inclusive abre novas possibilidades no refino de logs no windows Server 2008 R2!!
Parabéns mesmo! é de muita valia.
Obrigado!
Olá Rafael!
Parabéns pelo vídeo, além de ser bem elaborado você tem didática, o que facilita muito.
Estou implantando a auditoria de pastas e arquivos aqui no trabalho, seu vídeo ajudou bastante, os logs de eventos de acesso ao objeto estão sendo registrados, porém, o evento que registra o log que indica que o arquivo foi deletado não aparece.
O que pode estar acontecendo?
Desde já agradeço.
Cláudia.
Olá,
Tem que seguir a dica certinho para funcionar. Depois de habilitar a diretiva para acesso a objetos, tem que habilitar a auditoria nos devidos objetos, ou seja, as pastas!
Olá! Descobri o problema. Habilitei a auditoria no servidor de arquivos. Até então estava fazendo isso no servidor AD e via police indicando o servidor de arquivo. Depois de ter habilitado localmente deu certo.
Muito obrigado pelo feedback. Esses comentários poderão ajudar muita gente.
Agradeço sua atenção e rapidez na resposta do comentário.
Obrigada
Ótima dica!!!! Parabéns!!!
Só tenho uma dúvida. Caso o meu Servidor de Domínio seja o Servidor de Arquivos, como faço para dividir ele, para que não precise auditar todas as máquinas do domínio?
Rafael,
Parabéns pelo tutorial!
Só uma duvida agora, como posso programar para ser feito de modo automático o backup dos logs de evento? Pois se o log que estiver em execução for muito grande, pode gerar lentidão no sistema.
Obrigado!
Amigo eu fiz aqui e deu tudo certinho so que “avisando que sou leigo to aprendendo agora” assim motra la foi deletado tal aquivo de tal pasta exemplo d:arquivos\corew\desenho.cdr mais ai mostra o usuario foi o desenhista ne so que temnho varias maquinas logadas como desenhista como faço pra saber pelo numer de ip ou nome da maquina sei la tem como??
aproposito seu post é de grande ajuda pra muita gente parabens!!!!!!!!!!!
Boa pergunta,
Acho que simplesmente não dá. O Windows é orientado a usuário e não a IP.
Rafael Boa Tarde,
Caro, é o seguinte tem alguma forma de conseguir gravar apenas os logs do evento 4663 e salva-los em algum outro local, porque eu tenho muitos usuários e com isso meu log so na parte da manhã chega a 500 MB eu queria gravar apenas esse evento outra pergunta ex: se um usuário abrir um arquivo ex : .docx e fizer uma alteração e fechar o documento vai pro meu log de auditoria como deletado, tem alguma forma de auditar apenas arquivos realmente excluídos ou deletados. Agradeço a atenção
Você pode filtrar o evento para o exato que você deseja, talvez diminua o número de falsos-positivos. E também pode mudar o local de armazenamento dos LOGs, mas não me recordo se dá para fazer isso somente em um filtro.
O que eu faço (quando não tem system center ou qq outro manager) é separar uma máquina para receber todos os LOGs dos servidores.
No link abaixo, existe o significado de alguns EventIDs:
http://support.microsoft.com/kb/977519/pt-br
(Descrição de eventos de segurança no Windows 7 e no Windows Server 2008 R2)
Consegui implementar a auditoria de acesso a objetos aos arquivos deletados no meu servidor, porem gostaria de saber também quem moveu os arquivos da rede, como devo prosseguir? Alguém conhece algum software que interpreta logs do Event Viewer?
Oi Gustavo,
Você pode sim rastrear a movimentação de arquivos pela rede. Mas você vai ter que descobrir o código do evento para poder criar uma exibição personalizada. Eu recomendo fazer testes observando o LOG do Windows. É assim que faço para descobrir os códigos que preciso.
E um software legal que pode lhe ajudar com LOGs é o Kiwi. Acho que é da Solar Winds.
Rafael, em primeiro lugar gostaria de agradecer sua atenção referente as minhas dúvidas.
Tentei observar os logs, mas quando renomeio ou recorto os arquivos para outras pastas é gerado um LOG ID 4663 como se o arquivo fosse deletado e não é gerado nenhum log diferente.