Специально для Алексея.
Первым делом устанавливаем
NAudit 2.0.2 стартер пак.
После через iManager в объектах "
сервер NCP" выбераем
сервер, на котором
будет стоять агент, и с которого будем собирать
event'ы.
Выбераем "изменение объекта", после входим во вкладочку
Novell Audit. В этой вкладке есть свойства (
Server, NetWare, Filesystem, eDirectory). Выбрав каждое из них, выбераем события которые хотим собирать.
Далее в функции "аудита и логирования" (Auditing and Logging) начинаем настраивать ту самую муть...
В каналах есть по умолчанию есть
Monitor,
File.
Создаем новые каналы в которые будем собирать события.
MySQL_Files:
Host: ip адрес сервера где крутится MySQL
Name: имя базы MySQL
Table: имя таблицы (например AuditFiles)
User: имя юзвера которому можно работать с базой
Password: пароль его самого
В
Create Table Options:
MAX_ROWS=10000000 AVG_ROW_LENGTH=225
В
SQL Expiration Commands:
create table newtable ($T) $e;RENAME TABLE $l TO fi$n, newtable TO $l;
А
время когда выполнять (Create и SQL) для файлов выставил
23:00
Если этих вещей не прописать (Create и SQL), то база будет рости и только в ручном режиме будет либо создаваться либо удаляться и т.п.
Аналогично делаем другие каналы, только в имени таблицы пишем
AuditDirectory ну и т.п. для того чтобы разделить события которые будем ловить.
Далее идем в
Notifications
Создаем например по имени
Files.
В description пишем что хотим, например "Работа с файлами", а вот тут начинаем шаманить!:
Создаем условие на которые будут ловиться события:
if EventID Matches NetWare File Open
or EventID Matches NetWare File Create
or EventID Matches NetWare File Delete
or EventID Matches NetWare File Close
or EventID Matches NetWare File Purged
or EventID Matches NetWare File Rename
or EventID Matches NetWare File Salvaged
or EventID Matches NetWare Create & Open (потому что события иногда этого требуют)
or EventID Matches NetWare Login
or EventID Matches NetWare Logout
and not Originator Contains NDPSManager.nksh (наш NDPS)
and not Originator Contains Сервер 1
and not Originator Contains Сервер 2
and not Originator Contains Сервер 3
and not Target Contains SYS:\
И все на этом у меня не хватило строк ( а надо еще убрать несколько папок и т.п.)!!!Далее в
Notification Channels:MySQL_Files.Channels.logging Services (выбираем из каналов что мы создали)
Так же поступаем с Директориями, называем
Folders:
if EventID Matches NetWare Directory Create
or EventID Matches NetWare Directory Remove
and not Originator Contains Сервер 1
and not Originator Contains Сервер 2
and not Originator Contains Сервер 3
end
И все, после этого мы будем иметь 2 таблицы в базе, в которые будем ловить события с файлами, и события с директориями. Так же будем собирать и все остальное, что хотели. Но одно но, сливать их надо в разные таблицы.
Условие: create table newtable ($T) $e;RENAME TABLE $l TO fi$n, newtable TO $l; необходимо нам для того, чтобы собирать таблицы за определенный период времени, есть вариант что будем удалять старые записи, но пока делаем так. Слишком быстро ростет таблица по файлам, и сливать все в одну таблицу за период недели, просто невозможно, число запией начинает исчисляться млн-ами.
а теперь что должно быть у logevent.cfg агента
LogHost=ip адрес где LENGINE.NLM
LogCacheDir=sys:\AuditLogs
LogEnginePort=289
LogCachePort=288
LogReconnectInterval=30
LogDebug=always
LogSigned=always
LogMaxCacheSize=31457280
LogCacheLimitAction=drop cache
что должно быть у logevent.cfg сервера аудита
LogHost=127.0.0.1
LogCacheDir=sys:\AuditLogs
LogEnginePort=289
LogCachePort=288
LogReconnectInterval=30
LogDebug=always
LogSigned=always
LogMaxCacheSize=31457280
LogCacheLimitAction=drop cache
И усё, после только запускаем аудит:
на сервере аудита
* LOAD LENGINE.NLM -d
* LOAD AUDITNW.NLM
И если надо то и auditds.nlm (опционально)
на сервере агенте
