Access audit profiles
访问审计配置文件是基于这些配置来收集 DataSecurity Plus 的事件的设置。这个重要的配置确定了要审计哪些访问类型、用户和共享。然后,收集的数据将显示在报告中。
有关文件审计中数据收集过程的更多信息, 请参阅架构。
为了让用户在其文件存储环境中对审计数据收集进行细粒度控制,DataSecurity Plus 支持两种类型的访问审计配置文件:
- 全局审计配置文件,可应用于所有或一组已配置的服务器。
- 特定于服务器的配置文件,单独应用于特定的服务器。
这些配置文件帮助用户确保收集的事件详情不重复,这可能导致日志数据库填充得更快。
只有管理技术人员帐户才能查看和修改访问审计配置文件。要查看所有配置的审计策略,请按照以下步骤操作:
- 从应用程序下拉菜单中选择文件审计。
- 转到“配置” > “常规设置” > “审计配置”。
- 在这里,您将看到“全局配置文件”和“特定于服务器的配置文件”选项卡。
- 全局配置文件:在此选项卡中,您可以查看应用于所有或一组已配置服务器的访问审计配置的列表。
- 特定于服务器的配置文件:在此选项卡中,选择“服务器名称”字段中的服务器,以查看特定于该服务器的所有访问审计配置,以及已应用于该服务器的全局审计配置。
创建和编辑访问审计配置文件
A) 全局审计配置文件
在安装时,DataSecurity Plus 将有一个默认的全局审计配置文件。这个名为“默认访问审计配置”的预定义配置文件是基于它开始收集和处理事件的。一旦在 DataSecurity Plus 中设置了文件服务器,它就会根据以下筛选器收集审计数据:
用户:所有
监视对象:所有
动作:所有
它会收集所有用户在已配置服务器中的所有共享、本地文件夹、子文件夹和本地文件上执行的所有文件访问事件的详细信息。
默认全局审计配置文件审计的文件操作
| 创建 | 修改 | 删除 | 移动 |
| 所有者更改 | 覆盖 | 权限更改 | 重命名 |
| SACL 更改 | 文件复制 | 读取拒绝 | 恢复 |
| 写入拒绝 | 删除拒绝 | 文件扩展更改 | 读取 |
| 粘贴文件 |
创建全局审计配置文件
要创建新的全局审计配置文件:
- 从应用程序下拉菜单中选择文件审计。
- 转到“配置” > “常规设置” > “审计配置” > “全局配置文件”。
- 单击右上角的“添加全局配置文件”。
- 为审计配置文件输入适当的配置文件名称和描述。
- 单击“选定服务器”字段旁边的 + 图标,然后选择要应用此配置文件的服务器。
- 要将此配置文件应用于以后可能添加到 DataSecurity Plus 中的任何新服务器,请选中“将配置文件应用于新服务器”旁边的复选框。
- 在“条件”下,选择要配置的实体,在“包括”和“排除”选项下。
- 单击“保存”以创建新的全局审计配置文件。
注意 : “排除”筛选器将优先于“包括”筛选器。
最佳实践: 很少需要多个全局访问审计策略。请注意,重复的审计配置文件设置会导致审计数据被收集两次,占用不必要的数据库空间,并在报告中列出多次。为了消除重叠的可能性,我们强烈建议在开始该过程之前通过电子邮件联系 DataSecurity Plus 的技术专家 support@datasecurityplus.com。我们的技术人员将通过远程支持会话帮助您进行审计配置文件的配置。
编辑全局审计配置文件
要编辑全局审计配置文件:
- 从应用程序下拉菜单中选择文件审计。
- 转到“配置” > “常规设置” > “审计配置” > “全局配置文件”。.
- 单击要编辑的审计配置文件旁边的编辑图标。
- 更改“包括”和“排除”下的必需字段,以收集或省略文件访问审计详情的那些实体。
- 单击“保存”。
最佳实践: 对于大多数用例,不需要编辑审计配置文件。事实上,除非您是经过认证的 DataSecurity Plus 技术人员,否则不建议这样做。配置错误可能导致关键审计数据的全部丢失。
要查看特定文件、用户、访问类型或其他条件的审计数据,您可以使用默认报告中的筛选器,或者按照本页中的步骤创建自定义报告。
特定于服务器的配置文件
创建特定于服务器的配置文件
要创建新的特定于服务器的配置文件:
- 从应用程序下拉菜单中选择文件审计。
- 转到“配置” > “常规设置” > “审计配置” > “特定于服务器的配置文件”。
- 单击“服务器名称”字段旁边的 + 图标,然后选择要为其创建配置文件的服务器。单击“选择”。
- 单击右上角的“添加服务器配置文件”。
- 为审计配置文件输入适当的配置文件名称和描述。
- 在“条件”下,选择要配置的实体,在“包括”和“排除”选项下。
- 单击“保存”以创建新的特定于服务器的审计配置文件。
注意 : “排除”筛选器将优先于“包括”筛选器。
为了更好地了解您可以如何使用特定于服务器的审计配置文件,这里有一个示例,说明了当您不想要审计服务器上用户进行的所有文件访问时。
假设在服务器上配置了两个共享,您想要审计共享 A 中的所有事件,但只想要审计共享 B 中的一些事件。您可以创建两个特定于服务器的审计配置文件,如下所示:
审计配置文件 A:
要审计共享 A 中的所有文件访问事件,请设置筛选器为:
用户对象:所有
动作:所有
监视对象:共享 A
审计配置文件 B:
要只审计共享 B 中的删除、移动和权限更改事件,请设置筛选器为:
用户对象:所有
动作:删除、移动、权限更改
监视对象:共享 B
审计配置文件 B 将确保 DataSecurity Plus 仅收集共享 B 中指定的事件。其他访问,如读取、修改、写入拒绝等,将不会被收集。为了确保其他地方不收集这些事件,并且所包含的事件不会被多次收集,请从所有适用的全局审计配置文件中删除服务器。
提示 :如果您希望将相同的审计配置文件应用于两个或更多服务器,请使用“全局配置文件”选项卡,并将配置文件应用于多个服务器。这将通过消除多个单独的特定于服务器的审计配置文件的需求来节省时间。
编辑特定于服务器的审计配置文件
要编辑特定于服务器的审计配置文件:
- 从应用程序下拉菜单中选择文件审计。
- 转到“配置” > “常规设置” > “审计配置” > “特定于服务器的配置文件”。
- 从相应字段中选择要编辑配置文件的服务器。
- 单击要编辑的审计配置文件旁边的编辑图标。
- 更改“包括”和“排除”下的必需字段,以收集或省略文件访问审计详情的那些实体。
- 单击“保存”。
最佳实践: 最佳实践:对于大多数用例,不需要编辑审计配置文件。事实上,除非您是经过认证的 DataSecurity Plus 技术人员,否则不建议这样做。配置错误可能导致关键审计数据的全部丢失。
要查看特定文件、用户、访问类型或其他条件的审计数据,您可以使用默认报告中的筛选器,或者按照本页中的步骤创建自定义报告。
删除审计配置文件
要删除审计配置文件:
- 从应用程序下拉菜单中选择文件审计。
- 转到“配置” > “常规设置” > “审计配置”。
- 从相应的选项卡中选择要删除的配置文件类型。
- 如果要删除特定于服务器的配置文件,请在“特定于服务器的配置文件”选项卡中选择该服务器。否则,跳过此步骤。
- 从表中选中要删除的配置文件旁边的复选框。
- 单击表格顶部的删除图标。
- 单击“确定”以确认操作。