Windows File Server Auditing

Windows File server auditlerini ayarlarken default group policy den yapmanızı tavsiye etmiyorum düzenli olabilmesi için ve ileride problem çıkarmaması için file server için group policy oluşturuyoruz.

Yukarıdaki görseldeki gibi Advanced Audit Policy Configuration dan gerekli olan auditleri açıyoruz.

Logon logoff açmamızın sebebi sunucuya erişmeyi denemesi ve kim hangi saate logon logoff olduğunu loglama cihazlarında görebilmemiz içim açıyoruz.

Object Access de görseldeki gibi hem success hemde failure açıyoruz.

Group policy hangi sunucu üzerinde etkili olacağını seçiyoruz.

Gpupdate /force diyerek group policyi yayınlıyoruz.

auditpol /get /category:* ile sunucu üzerinde hangi policylerin açık olduğunu kontrol ediyoruz.

File server olarak kullandığınız disk yada klasörde özelliklere girip
security >Advanced >Audting >Edit diyoruz.

Everyone kullanıcısını yani tüm kullanıcıları hareketlerinin loğlarını almak için ekliyoruz.

Apply onto:This folder, subfolders and files olarak ayarlıyoruz.

Tercihen read edilen dosyaları görmek istemediğimden readleri açmıyorum.

Oluşturma silme yazma ve değiştirme loğlarını görmek için yukarıdaki gibi açıyoruz.

İhtiyacınıza göre accessleri açabilirsiniz unutulmaması gereken tek şey sistemin ne kadar yoğun bir log üreteceğini planlanması ve event viewer maximum log size boyutunu arttırılması gerekir.