Аудит (Nsure Audit) на 6.5 замедляет доступ к файлам!

[Орлов Алексей]

т.е. я так понимаю

В событиях NW тоже есть галки login/logout...

можно не использовать auditds?

ошибка возникает
RightsCache.........105 (Error -603) The requested attribute could not be found.
In the Directory, if an attribute does not contain a value then the attribute d
oes not exist for the specific object.

когда я выбираю в imanagere сервер клиент и выбираю закладку audit.

События Edir не аудитятся.

[RuStn]

Ну все, устал
Переставил аудит!
Audit v 2.0.2
назначил сервером аудита сервер №1 с агентом и инструментами, агента установил с инструментами на сервер №2.
Евенты ловит на сервере №1 без проблем! на сервере №2 нет.
Lengine -d показывает что есть соединения с сервера №1 и №2.
выгрудаю auditnw на сервере №1, соединения уменьшаются в lengine на одно!. Т.е. сервер №2 соединен (агент с lengine). В базе аудита нет обытий! чист!
Выгружаю auditnw на сервере №2, соединение в lengine уменьшается еще на одно (стало 0). Т.е. с сервером аудита соединяется все правильно!
Загружаю auditnw на сервере №1, события тут же льются!

Вопрос!? а где косяк???

[Орлов Алексей]

Поэтому я и поставил 1 версию, со второй что-то не пошло. Хотя сейчас сервером является 2 версия, а клиент 1 все пишет

[RuStn]

Алексей, чуть поподробнее, агент на втором у тебя ниже версией? а какеи файлы конкретно? А сервер второй версии, точнее какой?
Может и мне стоит такой бардак создать? (прости)...

[Орлов Алексей]

да нет дело не в бардаке Сначало все было версии Nsure Audit v1.0
запустил, спасибо Владимиру Горяеву, все хорошо, но некоторые авенты почемуто не писались, например создание файла или папки. Я подумал а не поставить ли мне Novell_Audit_202_Starter_NetWare. Т к. клиентский сервер боевой ребутить нельзя, а выгрузка лиента вешает сеть наглухо, поэто происталлировал все на сервер аудита, но сначало снес предыдущую схему и рашрил заново все оки. На клиенте не менял, схему не расширял. Сначало тоже не писал, но покурив минут 30 сморю пошло, просто я заметил такую странную особенность, изменнеия вступают в силу не сразу, а через какое-то время. Может быть стоит подождать?

[RuStn]

Алексей, ты не совсем прав...
Изменения должны появиться сразу! Мои наблюдения по этому поводу за всем что там происходит, увидел что тут же начинает работать!
Ну прежде всего надо все оптимизировать!
Во первых на MySQL что ты сделал?
вот что у меня

default-character-set=cp1251
language=english
bind-address=10.16.8.15
port=3306
datadir=sys:/mysql/data
skip-locking
skip-innodb

key_buffer = 256M
max_allowed_packet = 1M
table_cache = 256
sort_buffer_size = 1M
read_buffer_size = 1M
read_rnd_buffer_size = 4M
myisam_sort_buffer_size = 64M
thread_cache_size = 8
query_cache_size= 16M
thread_concurrency = 4

log-bin=mysql-bin

server-id = 1

[mysqldump]
quick
max_allowed_packet = 16M

[mysql]
no-auto-rehash

[isamchk]
key_buffer = 128M
sort_buffer_size = 128M
read_buffer = 2M
write_buffer = 2M

[myisamchk]
key_buffer = 128M
sort_buffer_size = 128M
read_buffer = 2M
write_buffer = 2M

[mysqlhotcopy]
interactive-timeout

На этом сервере 4 Гб памяти и 2хXenon 2.4ГГц
в аудит сервере что у тебя?
себе сделал так:

min=204800
norm=409600
max=614400

Теперь не виснет!, как было при по умолчанию!
Да и еще не факт что я все сделал правильно!
Раньше до того как MySQL так накрутил (версия кстати 5.21), со стороны подключится были большие тормоза (сделать выборку событий в какой либо программе). Однако после, все летает! на любое количество событий в секунду! И база так шустренько собирается и доступ есть, прям радует!
Та что, вот...
Но не собирает он со второго сервера

[RuStn]

Ну все!
Заработало
Все события (что настроил) ловит! А всего то надо было быть внимательнее, надо было в свойствах сервера (тот что с агентом), указать ему чтож я от него хотел .

[Орлов Алексей]

ну и что же ты от него хотел? А ловится создание файла и папки?

И еще, а имеет смысл поднять сервер аудита не на одном сервере а на нескольких. Т.е. у меня есть сервер А на нем запущен сервер и клиент, все это конектица к сторонней базе данных, сервер В я решаю подключить к этому же аудит серверу, тупо копирую клиента запускаю, в logevent.cfg указываю адрес сервера аудит. Все запускаем, вроде работает. Так вот а что если на сервер В тоже поднять свой сервер и писать данные на localhost а он в свою очередь будет кидать данные в mysql, нет зависимсоти от других серверов. Представьте встал сервер аудита, соответсвенно ничего логироватся не будет, а при такое ситуации не буду логироваться авенты только одного сервера, да и ладно, он ведь все равно стоит.

[RuStn]

Алексей, ты можешь поднимать серверов аудита сколько тебе захочется!
Во первых в файле логевент кфг ты через запятые укажи какое хочешь количество аудит серверов куда сливать евенты!
Во вторых если доступа к серверу (серверам) нет, то все собирается в файл локально, и после как только соединится он все эти евенты сольет в них!
В третьих, в свойствах сервера (серверов) обязательно укажи что хотел собирать!
И в итоге, мои предположения таковы, делай базу на чем хочешь, пусть будет она где то на стороне и не обязательно MySQL, а сервер аудита можешь делать и не один, просто у них укажешь эту базу...
Да тут вариантов много, главное они все будут работать!

[Орлов Алексей]

Спасибо, а все таки

А ловится создание файла и папки?

[RuStn]

Ловится все, база растет как на дрожжах, а сервер живет и не парится? что было раньше и что сейчас, по моему небо и земля...

[Орлов Алексей]

Так интересно, а почему у меня не ловится создание файла???!!!! А версия eDir какая? У меня 8 7 3 7

[RuStn]

Алексей, не совсем понял, а eDir то тут зачем?
прежде всего это события Netware aplication, там есть помимо действий с файлами и папками и события по login и logout, за глаза пока хватит. А то что ты говоришь, события eDir то там кто что делал со свойствами или с самими объектами в дереве.
Так что, думаю ты не тот апликашин запускаешь на ловлю событий...
Если есть тел., могу позвонить и разъяснить...

[RuStn]

Алексей, попропуй сделать так:
В евентсе укажи одно единственное правило, создание директории, других строк не добавляй.
Затем перезапусти ленджине с -д, и после запусти auditnw на том сервере где хочешь найти событие, лезь затем в тот сервер и создай ее. У меня как вместе со всеми событиями, так и одно только оно все ловит...

[Орлов Алексей]

RuStn

У тебя на клиентском сервер ни разу не было таких сообщений?

RightsCache.........105 (Error -603) The requested attribute could not be found.
In the Directory, if an attribute does not contain a value then the attribute d
oes not exist for the specific object.

Поповоду евентсе создал, отметил только создание файла - не создается. Все работает кроме этой опции.