Audit partage de fichier

david_oliver · March 20, 2020, 9:32am

Bonjour,

J'ai un serveur de fichier j aimerai auditer qui a fais quoi : ajout, modification et suppression.

j ai activé les audits file system et file share, je recois bien les log dans kibana avec winlogbeat et elastic mais je l'ai trouve peu explicite.

j'aurai aimer savoir si il y a un autre moyen d'auditer un partage de fichier avec un autre beats ou une autre méthode

Merci par avance de vos réponse

dadoonet · March 20, 2020, 11:15am

Bienvenue !

Regarde si Auditbeat te permettrait d'obtenir ce que tu cherches.

ahmed_charafouddine · March 20, 2020, 1:14pm

Oui, je pense aussi que le module File Integrity de auditbeat devrait être une solution.
Complement : + filebeat module system file

david_oliver · March 20, 2020, 1:27pm

Super merci de vos retour je me mets sur c est deux modules et je vous tiens au courant de mon avancé

david_oliver · March 20, 2020, 2:57pm

Auditbeat avec le file integrity est plus explicite sur l action faite le problème est qu'il n y a pas le user qui a fait l action

ex : j'ai le bon nom de fichier si il a était modifier crée ou supprimer mais je ne sais pas par qui

Avez-vous une idée pour le récupérer ?

Merci

dadoonet · March 20, 2020, 3:13pm

Hmmmm. Il me semble que ça me donne sur Linux.

david_oliver · March 20, 2020, 3:41pm

la sur windows après plusieurs test en changent d'user je n'ai rien qui remonte je suis en 7.6.0

Configuration aditbeat

auditbeat.modules:

- module: file_integrity
  paths:
  #- C:/windows
  #- C:/windows/system32
  #- C:/Program Files
  #- C:/Program Files (x86)
  - E:/Shares/partage
  recursive: true

Voila se que je récupère

{
  "_index": "auditbeat-7.6.0-2020.03.18-000016",
  "_type": "_doc",
  "_id": "wfRo-HABJaqY5W-aFN4f",
  "_score": 1,
  "_source": {
    "@timestamp": "2020-03-20T14:40:54.447Z",
    "hash": {
      "sha1": "e1a48afd3a1cb093f351e8a2aa4cd187789e1a14"
    },
    "host": {
      "architecture": "x86_64",
      "name": "AD.local",
      "os": {
        "build": "17763.1098",
        "platform": "windows",
        "version": "10.0",
        "family": "windows",
        "name": "Windows Server 2019 Standard",
        "kernel": "10.0.17763.1098 (WinBuild.160101.0800)"
      },
      "id": "cb469dd3-17b9-430b-b98f-cda1367b0588",
      "hostname": "AD"
    },
    "agent": {
      "version": "7.6.0",
      "name": "AD.local",
      "type": "auditbeat",
      "ephemeral_id": "5baeeea9-9ced-4f3d-afef-25af3b226f0a",
      "hostname": "AD",
      "id": "3d114794-e4eb-44e4-b0a0-e76c5ac3cdd1"
    },
    "ecs": {
      "version": "1.4.0"
    },
    "event": {
      "module": "file_integrity",
      "dataset": "file",
      "action": [
        "updated"
      ]
    },
    "service": {
      "type": "file_integrity"
    },
    "file": {
      "size": 7,
      "type": "file",
      "uid": "S-1-5-21-1808165017-3226825159-2693320066-2674",
      "owner": "AD\\david",
      "path": "E:\\Shares\\partage\\david.txt",
      "inode": "281474976710723",
      "mtime": "2020-03-20T14:40:54.435Z",
      "ctime": "2020-03-20T14:39:14.793Z"
    }
  },
  "fields": {
    "file.ctime": [
      "2020-03-20T14:39:14.793Z"
    ],
    "@timestamp": [
      "2020-03-20T14:40:54.447Z"
    ],
    "file.mtime": [
      "2020-03-20T14:40:54.435Z"
    ]
  }
}

dadoonet · March 20, 2020, 4:05pm

Ca vaudrait le coup d'ouvrir d'un bug sur https://github.com/elastic/beats ?

david_oliver · March 20, 2020, 4:23pm

Suite a mes recherche je suis tomber sur ça je pense qu'un bug a déjà était ouvert

system · April 17, 2020, 4:23pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.