Bu makalemizde Windows Server üzerinde file audit olayını ele alacağız. Şunu belirtmekte yarar var ki, bu işi yapan ve hakkını vererek yapan birçok yazılım var. Bir file server üzerinde oluşan olayları (Silme, Okuma, Oluşturma) 3.parti yazılımlar ile takip edebilir, raporlayabilir, alarmlar üretebiliriz. Ancak bu işi Windows Server üzerinden yapabilir miyiz derseniz uğraştırıcı bir şekilde bu olayları tabip edebiliriz. Biz şimdi bu özelliği ele alıyor olacağız.
Elimizde üzerinde Domain Controller mimarisi kurulu olan bir Windows Server 2019 işletim sistemimiz var.
Active Directory yapımız üzerinde Test amaçlı olarak kullanacağımız bir konteyner ve içerisinde kullanıcı ve bilgisayar öğesi mevcut durumda.
Group Policy konsolumuzda TEST konteynerine bağlı bir policy ilkemiz yok.
Öncelikle File Audit özelliğini gpo üzerinden açmamız gerekmekte. Ben Deafult Domain policy üzerinde fazla ayar yapmaktan kaçınıyorum. Bu nedenle var olan policy yapısına dokunmadan Test işlemleri yapacağımız, konteyner üzerinde sağ tıklayarak “Create GPO in this domain, and Link it here…” açılır menüsüne tıklayarak yeni bir policy oluşturacağım.
Oluşturacağımız Policy ilkesine bir isim verip OK ile onaylayalım.
Oluşturduğumuz File_Audit_Policy isimli ilke üzerinde sağ tıklayarak Edit açılır menüsüne tıklayalım.
Açılan konsolda Computer Configuration->Policies->Windows Settings->Security Settings->Local Policies->Audit Policy ekranını açalım. Audit object Access kuralını açalım.
Define these policy settings özelliğini aktif ederek Success ve Failure durumlarında loglamayı açmak için işaretleyelim ve OK ile bu ekrandan çıkalım.
Normalde kısa süre içerisinde ayarlar etkin olacaktır ancak gpupdate /force komutu ile policy ayarının etkin olmasını sağlayalım. Aslında bu komutun policy ilkesi alacak bilgisayar ve kullanıcılar üzerinde çalıştırılması daha önemlidir.
Şimdi bu GPO ayarından sonra bir ortak klasör oluşturalım, paylaşıma açalım, audit ayarını aktive edelim ve logları izleyecek duruma gelelim. Bizim elimizde sunucumuz üzerindeki bir alanda HAVUZ-ORTAK isimli bir klasörümüz var.
Klasörümüz paylaşıma açık durumda.
Klasörümüzde Everyone okuma ve yazma açık durumda. Biz test ortamındayız, normalde güvenlik sıkılaştırması gereği yeteri kadar yetki verilmesi gerektiğinden dolayı bu alanlarda sadece işlem yapacak kişi ve bilgisayarlara yetki verilmesi gerekmekte.
Security tabında yine izinleri görebiliyoruz. Audit ayarlarını yapabilmek için Advanced butonuna tıklayalım.
Açılan ekranda Auditing tabına tıklayalım. Burada Change veya Add butonuna tıklayarak paylaşım üzerinde audit yapılacak olan kişi veya grupları belirlememiz gerekmekte.
Açılan ekranımızda Select principal linkine tıklayalım.
İlgili kişi veya grupları seçebiliriz. Biz test ortamında olduğumuz için Everyone grubunu seçerek tüm erişim sağlayanların audit logunu alalım.
Bu ekranımızda Type kısmında tüm olayların loğunu almak istediğimizi belirtelim. Applies to kısmında klasör ve içindeki alt klasör ve dosyaların logunu almak istediğimizi belirtelim. Logu alınacak olan aksiyon türlerini Basic permissions alanından seçelim. Özelleştirilmiş ayarlar yapmak için Show advanced permissions linkine tıklayalım.
Açılan ekranımızda loglama konusunda detay seçimler yapabiliriz. Biz burada sadece silme ve okuma yapanların loglanmasını sağlayacak olduğumuz için aşağıdaki seçimi yapıyorum. Siz yapınızdaki duruma göre gerekli farklı aksiyonların loglanması için gerekli seçimleri yapabilirsiniz.
Evet ilgili grubumuz eklendi. OK ile bu ekrandan çıkalım.
HAVUZ-ORTAK klasörü içerisinde klasörlerimiz ve dosyalarımız var. Ben test etmek açısından bir klasörü sileceğim. Silme işlemi için policy uyguladığımız client bilgisayarını kullanıyorum.
Klasörü siliyorum.
Klasörümüz silindi.
Şimdi Havuz-Ortak paylaşımının olduğu sunucumuz üzerinde Event Viewer konsolumuzu açalım. Audit Logları Windows Logs->Security kabına düşmektedir. Öncelikle son logları görebilmek için Refresh butonuna tıklayalım. Sonrasında aradığımız log kaydını rahat bulabilmek için Find butonuna tıklayalım.
İşlemler Havuz-Ortak üzerinde olduğu için arama alanına Havuz-Ortak yazıp Find Next ile aratalım.
Aramalarda bu klasörde meydana gelen bizim belirlediğimiz Audit Aksiyonları ortaya çıktı. RIZAS kullanıcısı tarafından TEST isimli klasörün Havuz-Ortak paylaşım alanından silindiğini görebiliyoruz.
Umarım yararlı olmuştur. Bir başka makalede görüşmek dileğiyle.