文件服务器审核工具FSA

   

 

     File System Auditor audits报告和对Windows文件服务器行为发出警告，显示谁，在何时，在哪台服务器上触动了哪些文件和文件夹。与提供无数入口来表示单个事件的事件日志统一解决方案不同，File System Auditor使用文件系统级别的智能审核来捕获所有行为并用单个入口显示每个单独事件，这样就能提供更好的报告，分析和决策。

定义 – 简单的图形用户界面选项来选择审核任务
收集 – 事件数据被集中存储在一个SQL数据库中
报告 – 基于详细标准的审核和报告
通知 – 配置报告生成并实时发送email

 

加强的服务器安全性
企业都关注安全控制的有效性，确定它们遵守所需的规则或直接监控文件系统行为，File System Auditor提供了对每个所需文件系统事件的实时监控，来提供可行的，可信赖的和完整的用户行为报告。

 

先说明一下安装环境：

①需要.NET环境支持。

②最好有域环境，并为每个用户建立一个域账号。

1、安装File System Auditor需要以下文件，其中第一个文件是我在官方网站上下载的，我下载的时候最新版本是2.0.8的，第二个是我在网上找到的，还算比较好找，迅雷就能下载到，最后一个文件是破解程序。



2、先安装第二个文件。



 

3、根据向导操作，均按默认操作，最后点击“Finish”结束安装。



4、运行第三个破解软件。

 

5、输入相关注册信息。



 

 

6、注意看下图“Status”的地方，显示破解成功。



7、然后进入控制面板，打开添加删除程序窗口，找到“File System Auditor - Console Setup”项目，将其删除掉。



8、开始删除，点击“是”按钮。



9、双击第一个文件，开始安装。



10、单击“Next”。



11、 安装正在进行。



12、安装完成。



 

13、在开始菜单中找到“File System Auditor 2”文件夹下面的“Agent Configuration Console"，单击打开。



14、启动程序时显示刚才破解时的授权信息。单击“OK“按钮。

 

15、程序启动后，单击红线圈出的位置，启动数据库向导。



 

 

16、显示数据库向导欢迎界面。

 



17、默认选择第一项，创建新的数据库，然后单击“Next"按钮。



18、在出现的新窗口中，在SQL Server Instance填写SQL数据库实例的名称，如果不知道也可以通过单击后面的按钮进行选择，比如，我选择的是VMWARE01的数据库实例。下面的Database Name是数据库的名称，取默认值即可，一般不用修改。下面的两个单选框是sql数据库的认证方式，上面的是使用Windows认证，下面的是使用sql认证方式。这个主要根据你安装sql数据库所采用的认证方式进行选择。



19、上面的图选项设置好后单击next按钮，出现下图：两个50是数据库文件和日志文件的初始大小。右边的是关于安全组的形式。创建默认的安全组有三个选项：①Local Group(Non DC）本地组，适用于没有域的环境；②Global 适用于域环境，并有多台服务器的情况下，提供全局的安全组；③Domain Local 本地域，适用于本地域环境。在这里我选择了第二项Global。

备注：其实对于后两项，我的理解也还不是很透彻，以上只是我个人的一些理解。



 

20、下图画红线的地方，可以勾选，手工指定数据库文件和日志文件的路径。



21、设置好后，单击next按钮，开始创建数据库。



22、创建数据库成功。



23、创建数据库成功后，关闭创建数据库向导窗口。单击下图红线位置其中之一，添加文件服务器。



24、在弹出的窗口中填写服务器的名称或者单击红线位置。



25、弹出选择计算机的窗口，找到需要监控的计算机。



26、这里选择了一台计算机。



27、单击OK按钮后弹出下面的窗口，选择是按钮。



28、又弹出一个窗口，继续单击是按钮。



备注：对于上面两个窗口的具体意思我还不是十分清楚，好像就是将一些默认的进程包含进刚创建的要监控的服务器当中。

29、这是刚才上面两个弹出窗口选择是之后的结果。

 

30、文件夹服务器添加好之后还不可以使用，通过状态可以发现，服务都还没有安装。还要做一些设置才可以使用。



 

 

 

31、在窗口右侧添加好的服务器上单击右键，选择install agent项目。



32、 弹出如下窗口，选择sql实例名称，然后选择前面建好的数据库，设置认证方式，这里我采用了sql认证方式，填写用户名sa，并填写密码。单击OK按钮。



33、这里显示提示信息，如果确认没有问题，单击是按钮。



34、稍等片刻之后，引擎安装成功



35、这时再看状态，和刚才不一样了，说明服务已经安装成功。



36、 切换到path filters选项卡，单击添加按钮，添加要监控的文件夹。



37、添加好文件夹后，还可以添加要监视的文件类型，或者排除的文件类型。对于要监控的事件可以取默认设置。默认是监控文件与文件夹的所有操作。



38、这里我添加了三种文件类型，除了这三种之外，不监控其它文件夹类型。



39、单击OK按钮后，显示如下。



40、在开始菜单中找到红线选项，打开程序。



41、程序启动后，显示如下窗口。



42、然后到被监控的文件夹下新建几个文件，并改名试试。也可以删除。文件类型可以多选几个。我们看到扩展名为txt的操作被记录下来，包括创建、改名、删除、移动等操作。而其它的文件类型，比如zip、bmp等类型并没有记录。



43、在开始菜单中找到Report Configuration Console程序，启动该程序，选择如下图所示部分，创建一个新的报表。



44、 根据下图所示进行设置。和前面的有些操作类似。



45、我选的是sql认证方式，需要输入用户名和密码。



46、报表建好之后，默认显示最近1小时的所有操作，因为我最近1小时没有操作，所以没有记录。



47、我们将时间调整一下，显示最近2小时的操作，这时出现了记录。



48、我们还可以对事件进行筛选，比如只选择删除事件，这样只显示谁删除了文件。



49、我们看到如下记录，只显示删除的文件。



50、还可以将结果导出为文件。



通过上面的一番设置，被监控的文件夹就一切尽在掌握之中，所有用户的操作一目了然。只要告诉用户，今后他们操作就会小心了，不会也不敢再乱删除别人的文件了。

 
 
 
File System Auditor v2.0.0 PJ版
 
 服务器下载地址： http://down1.3ddown.com//Down/2007/06/File.System.Auditor.v2.0.0.zip
 
破解说明
1.首先下载并安装FSASetup_Console_1.52.msi 控制台
http://scriptlogic.http.internapcdn.net/scriptlogic//downloads/filesystemauditor/FSASetup_1.52.zip
 
2.运行keygen1.02(注册机).rar 破解补丁，填写相应的信息后破解成功。
3.到控制面板卸载刚才安装的FSASetup_Console_1.52
4.开始安装File_System_Auditor 2.msi 服务器