Audit partage de fichier

Bonjour,

J'ai un serveur de fichier j aimerai auditer qui a fais quoi : ajout, modification et suppression.

j ai activé les audits file system et file share, je recois bien les log dans kibana avec winlogbeat et elastic mais je l'ai trouve peu explicite.

j'aurai aimer savoir si il y a un autre moyen d'auditer un partage de fichier avec un autre beats ou une autre méthode

Merci par avance de vos réponse

Bienvenue !

Regarde si Auditbeat te permettrait d'obtenir ce que tu cherches.

Oui, je pense aussi que le module File Integrity de auditbeat devrait être une solution.
Complement : + filebeat module system file

Super merci de vos retour je me mets sur c est deux modules et je vous tiens au courant de mon avancé

Auditbeat avec le file integrity est plus explicite sur l action faite le problème est qu'il n y a pas le user qui a fait l action

ex : j'ai le bon nom de fichier si il a était modifier crée ou supprimer mais je ne sais pas par qui

Avez-vous une idée pour le récupérer ?

Merci

Hmmmm. Il me semble que ça me donne sur Linux.

la sur windows après plusieurs test en changent d'user je n'ai rien qui remonte je suis en 7.6.0

Configuration aditbeat

auditbeat.modules:

- module: file_integrity
  paths:
  #- C:/windows
  #- C:/windows/system32
  #- C:/Program Files
  #- C:/Program Files (x86)
  - E:/Shares/partage
  recursive: true

Voila se que je récupère

{
  "_index": "auditbeat-7.6.0-2020.03.18-000016",
  "_type": "_doc",
  "_id": "wfRo-HABJaqY5W-aFN4f",
  "_score": 1,
  "_source": {
    "@timestamp": "2020-03-20T14:40:54.447Z",
    "hash": {
      "sha1": "e1a48afd3a1cb093f351e8a2aa4cd187789e1a14"
    },
    "host": {
      "architecture": "x86_64",
      "name": "AD.local",
      "os": {
        "build": "17763.1098",
        "platform": "windows",
        "version": "10.0",
        "family": "windows",
        "name": "Windows Server 2019 Standard",
        "kernel": "10.0.17763.1098 (WinBuild.160101.0800)"
      },
      "id": "cb469dd3-17b9-430b-b98f-cda1367b0588",
      "hostname": "AD"
    },
    "agent": {
      "version": "7.6.0",
      "name": "AD.local",
      "type": "auditbeat",
      "ephemeral_id": "5baeeea9-9ced-4f3d-afef-25af3b226f0a",
      "hostname": "AD",
      "id": "3d114794-e4eb-44e4-b0a0-e76c5ac3cdd1"
    },
    "ecs": {
      "version": "1.4.0"
    },
    "event": {
      "module": "file_integrity",
      "dataset": "file",
      "action": [
        "updated"
      ]
    },
    "service": {
      "type": "file_integrity"
    },
    "file": {
      "size": 7,
      "type": "file",
      "uid": "S-1-5-21-1808165017-3226825159-2693320066-2674",
      "owner": "AD\\david",
      "path": "E:\\Shares\\partage\\david.txt",
      "inode": "281474976710723",
      "mtime": "2020-03-20T14:40:54.435Z",
      "ctime": "2020-03-20T14:39:14.793Z"
    }
  },
  "fields": {
    "file.ctime": [
      "2020-03-20T14:39:14.793Z"
    ],
    "@timestamp": [
      "2020-03-20T14:40:54.447Z"
    ],
    "file.mtime": [
      "2020-03-20T14:40:54.435Z"
    ]
  }
}

Ca vaudrait le coup d'ouvrir d'un bug sur https://github.com/elastic/beats ?

Suite a mes recherche je suis tomber sur ça je pense qu'un bug a déjà était ouvert

1 Like