Аудит (Nsure Audit) на 6.5 замедляет доступ к файлам!

Обсуждение технических вопросов по продуктам Novell

Сообщение RuStn » 04 сен 2006, 11:36

Владимир, прости, но это уже грубо будет...
А и не надо объединять. Пусть каждое оповещение пишет о своих событиях, хоть в общий канал, хоть в разные каналы. Ну а про очевидное - обычная булева логика.

Делаю я такое! делаю! но! есть одно но! нельзя написать то что хотел! не хватает строк!
По твоему мнению, надо создавать то количество эвентов, которое хочу собирать. Но мне легче исключить, чем перечислить все папки, а их более 100 если не 1000 если не млн. чем исключить пару тройку, или с десяток!
как по твоему буду делать я? допустим надо разобраться с 100 папок?
подсчитаем, один евент собирает 15 строк, итого 6 правил, таак, а теперь нужно еще собрать события по обращению к файлам, удалить, создать, изменить и т.д. сколько я евентов соберу?
а про булеву и не говори, не ребенок чтоб меня учили и изодня в день тыкать носом в это! я делаю ими, делаю! но не хватило!
простите за ошибки, проверять не буду, сам не русский, значит скидка, а еще прошу прощение за вспылчивость, просто усталость объяснения!

А по счет Максима, спа, я и так знал что он есть, и насколько помню (если не ошибаюсь) то у него же и учился в свое время...
RuStn
 
Сообщения: 42
Зарегистрирован: 11 мар 2004, 14:19

Сообщение Владимир Горяев » 04 сен 2006, 12:15

RuStn
Что-то мы недопонимаем друг друга... или вообще о разных вещах говорим.

Лучше напишу как я сделал.
Главный канал логирования - файл, живет 5с., чтоб места много не занимать.
В параметрах сервера галками отмечены нужные события.
Оповещения настроены в один канал MySQL. Я не заморачивался с прописыванием всех папок, делал либо по томам, либо по содержанию (contains) в пути имени папки/файла + исключения (and not) если в имени оригинатора присутствует определенный сервер/пользователь или контекст.
А дальше уже с помощью PHP можно и конкретнее запрос сделать.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение RuStn » 04 сен 2006, 13:12

Владимир, а теперь представь что лезе в сеть более 700 машин, и работают с одновременно с 3-4 тыс. файлов, а еще события входа выхода юзверей надо собрать, а так же исключить события NDPS и всего такого!
База MySQL растет как на дрожах в первых же минутах своей работы! и дай бог чтоб не упал сервер или база, или еще что.!.
И какое количество записей мы видем? да в первые 5 минут я вижу что даже при моих обрезаниях (не полных) более 400 000 записей слилось в таблицу!, и это только работа с файлами! а их таблиц разных несколько, отдельно папки, отдельно файлы, отдельно логины, отдельно алерты, отдельно все такое...
Как ты думаешь, надолго ли хватит базы?
и вообще, о чудо, как же оно работает? даже и не падает так? мда, и это надо признать факт! работает! но вносит определенные корективы в работу! надо выгрузить auditnw и logevent, прежде чем запстить например dsrepair, а то сервер мы не увидем :)
вот такова наша жизнь :)
RuStn
 
Сообщения: 42
Зарегистрирован: 11 мар 2004, 14:19

Сообщение RuStn » 15 сен 2006, 12:27

Специально для Алексея.
Первым делом устанавливаем NAudit 2.0.2 стартер пак.
После через iManager в объектах "сервер NCP" выбераем сервер, на котором будет стоять агент, и с которого будем собирать event'ы.
Выбераем "изменение объекта", после входим во вкладочку Novell Audit. В этой вкладке есть свойства (Server, NetWare, Filesystem, eDirectory). Выбрав каждое из них, выбераем события которые хотим собирать.
Далее в функции "аудита и логирования" (Auditing and Logging) начинаем настраивать ту самую муть...
В каналах есть по умолчанию есть Monitor, File.
Создаем новые каналы в которые будем собирать события.
MySQL_Files:
Host: ip адрес сервера где крутится MySQL
Name: имя базы MySQL
Table: имя таблицы (например AuditFiles)
User: имя юзвера которому можно работать с базой
Password: пароль его самого

В Create Table Options:
MAX_ROWS=10000000 AVG_ROW_LENGTH=225

В SQL Expiration Commands:
create table newtable ($T) $e;RENAME TABLE $l TO fi$n, newtable TO $l;

А время когда выполнять (Create и SQL) для файлов выставил 23:00

Если этих вещей не прописать (Create и SQL), то база будет рости и только в ручном режиме будет либо создаваться либо удаляться и т.п.

Аналогично делаем другие каналы, только в имени таблицы пишем AuditDirectory ну и т.п. для того чтобы разделить события которые будем ловить.

Далее идем в Notifications
Создаем например по имени Files.
В description пишем что хотим, например "Работа с файлами", а вот тут начинаем шаманить!:
Создаем условие на которые будут ловиться события:
if EventID Matches NetWare File Open
or EventID Matches NetWare File Create
or EventID Matches NetWare File Delete
or EventID Matches NetWare File Close
or EventID Matches NetWare File Purged
or EventID Matches NetWare File Rename
or EventID Matches NetWare File Salvaged
or EventID Matches NetWare Create & Open (потому что события иногда этого требуют)
or EventID Matches NetWare Login
or EventID Matches NetWare Logout
and not Originator Contains NDPSManager.nksh (наш NDPS)
and not Originator Contains Сервер 1
and not Originator Contains Сервер 2
and not Originator Contains Сервер 3
and not Target Contains SYS:\

И все на этом у меня не хватило строк ( а надо еще убрать несколько папок и т.п.)!!!

Далее в Notification Channels:
MySQL_Files.Channels.logging Services (выбираем из каналов что мы создали)

Так же поступаем с Директориями, называем Folders:
if EventID Matches NetWare Directory Create
or EventID Matches NetWare Directory Remove
and not Originator Contains Сервер 1
and not Originator Contains Сервер 2
and not Originator Contains Сервер 3
end

И все, после этого мы будем иметь 2 таблицы в базе, в которые будем ловить события с файлами, и события с директориями. Так же будем собирать и все остальное, что хотели. Но одно но, сливать их надо в разные таблицы.


Условие: create table newtable ($T) $e;RENAME TABLE $l TO fi$n, newtable TO $l; необходимо нам для того, чтобы собирать таблицы за определенный период времени, есть вариант что будем удалять старые записи, но пока делаем так. Слишком быстро ростет таблица по файлам, и сливать все в одну таблицу за период недели, просто невозможно, число запией начинает исчисляться млн-ами.

а теперь что должно быть у logevent.cfg агента
LogHost=ip адрес где LENGINE.NLM
LogCacheDir=sys:\AuditLogs
LogEnginePort=289
LogCachePort=288
LogReconnectInterval=30
LogDebug=always
LogSigned=always
LogMaxCacheSize=31457280
LogCacheLimitAction=drop cache

что должно быть у logevent.cfg сервера аудита
LogHost=127.0.0.1
LogCacheDir=sys:\AuditLogs
LogEnginePort=289
LogCachePort=288
LogReconnectInterval=30
LogDebug=always
LogSigned=always
LogMaxCacheSize=31457280
LogCacheLimitAction=drop cache


И усё, после только запускаем аудит:
на сервере аудита
    * LOAD LENGINE.NLM -d
    * LOAD AUDITNW.NLM
И если надо то и auditds.nlm (опционально) :)
на сервере агенте
    *LOAD AUDITNW.NLM
RuStn
 
Сообщения: 42
Зарегистрирован: 11 мар 2004, 14:19

Сообщение VladislavM » 16 апр 2007, 06:38

Не совсем в продолжение темы: как добиться правильного отображения Event Field Variables в SMTP channel, т.е. что бы, например, сообщение "User $SU password has been changed by $SB" возвращало target и originator логины? Версия NAudit 2.0.2 FP1. Дефолтовый канал - mySQL 4.0, там все ок. Думаю поставить 2.0.2 FP2 (15. LGDSMTP - Problems in the format of SMTP notifications (198550)), но нет уверенности, что поможет.
Аватара пользователя
VladislavM
 
Сообщения: 60
Зарегистрирован: 26 фев 2004, 20:25
Откуда: Новосибирск

Сообщение VladislavM » 17 апр 2007, 13:58

поставил 2.0.2 FP2 - помогло :P
Аватара пользователя
VladislavM
 
Сообщения: 60
Зарегистрирован: 26 фев 2004, 20:25
Откуда: Новосибирск

Пред.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13