Sys-Admin Forum

Определить медленное чтение / копирование файлов с общих ресурсов

В общем идея такая - необходима система, которая бы генерировала алерт, если с одного источника или из под одной и той же учетной записи происходит копирование n количества файлов за n промежуток времени… Я не сталкивался с такими системами, но примерно представляю как это можно сделать подручными средствами, может кто то реализовывал нечто подобное или есть какие идеи на этот счет?

Думаю надо включить на шаред-сервере аудит файловой системы, выявить необходимые эвентайди, написать скрипт, профит =)

Все есть кроме скрипта (пока), что пока было сделано - выгружены все логи в csv, исключены из логов “мусор” в виде антивирусов, сервисных учеток (пока), в данный момент думаю над грепом и прочим полезным софтом, который можно использовать на благо цели…

По факту что думаю - вытаскивать Имя пользователя, источник (от куда происходил коннект), типа доступа (в аднном случае достаточно чтения), что читал, дату, время…

Весь “жопсис” в том, что evtx очень долго фильтруются, сохраняются, экспортируются и csv файлик в 30Гб парсится так же чувствительно по времени, корю себя, что не нашел ранее время для сислог сервера… или иной возможности, дабы сохранять логи с нужными ID в БД…

Вот похожая темка

Спасибо, я для этих целей юзал LogParser, завтра попробую по скорости этот вариант…

З.Ы. Те кто пилил evtx наверное не учитывали, что поиск в них может быть очень долгий, у нас логов за день по файловому аудиту примерно 8Гб накапливается, неделя 70 - 100Гб, парсить данные за, к примеру месяц, это ппц, можно застрелиться… Из думаю БД было бы куда быстрее :wink: