Вкладка «Аудит»

Описание

Отслеживание и регистрация операций с файлом/ярлыком/папкой, свойства которой открыты. Функция доступна на усиленном уровне защищенности («Воронеж») и на максимальном уровне защищенности («Смоленск»).

Для просмотра настроек аудита файла/ярлыка/папки необходимо:

  • запустить менеджер файлов от имени администратора, выполнив команду:
    sudo fly-fm
  • в менеджере файлов вызвать контекстное меню файла/ярлыка/папки и выбрать Свойства;
  • в окне Свойства перейти во вкладку Аудит.

Аудит файлов и ярлыков

Просмотр настроек аудита

Для просмотра настроек аудита объекта файловой системы (файла или ярлыка) необходимо:

  • запустить менеджер файлов от имени администратора;
  • в менеджере файлов вызвать контекстное меню файла или ярлыка и выбрать Свойства;
  • в окне Свойства перейти во вкладку Аудит.

Во вкладке в табличном виде приведен список пользователей и групп, а также правила аудита выполняемых ими действий с объектом файловой системы, свойства которого открыты.

Приоритет правил аудита определяется следующим образом:

  • самый высокий приоритет имеют правила аудита для конкретных пользователей;
  • менее высокий приоритет имеют правила аудита для группы пользователей. Если указанный в таблице пользователь является членом группы, также указанной в таблице, применяются только правила аудита для данного пользователя;
  • самый низкий приоритет имеют правила для «остальных» пользователей — всех пользователей, не указанных в таблице и не состоящих в группах, указанных в таблице.

С помощью флагов Пользователи, Группы и Остальные возможно фильтровать строки таблицы.

Изменение настроек аудита

Добавление и удаление пользователя или группы

Добавление пользователя или группы:

  • во вкладке Аудит нажать [Добавить элемент аудита];
  • в окне Выберите элемент аудита:
    • указать, на кого будет распространяться правило:
      • на определенного пользователя — установить переключатель Выберите тип в положение Пользователь и выбрать нужного пользователя из списка;
      • на определенную группу пользователей — установить переключатель Выберите тип в положение Группа и выбрать нужную группу пользователей из списка;
      • на всех остальных пользователей — установить переключатель Выберите тип в положение Остальные;
    • нажать [Да]. Выбранный пользователь или группа отобразится в таблице.

Для добавленного пользователя или группы необходимо настроить правило аудита (см. Правило аудита).

Удаление пользователя или группы из таблицы — во вкладке Аудит в столбце Элемент в соответствующей строке нажать [Удалить].

Сохранение настроек аудита — нажать [Да] в окне Свойства.

Правило аудита

Правила аудита определяют, какие действия пользователя или группы с объектом файловой системы будут регистрироваться.

Добавление правила аудита:

  • во вкладке Аудит в соответствующей строке таблицы в столбце Обычный нажать [Создать]. Будут отображены строки:
    • s:{} — перечень действий, успешное выполнение которых будет регистрироваться;
    • f:{} — перечень действий, неудачное выполнение которых будет регистрироваться;

  • нажатием на отобразившиеся строки открыть панель редактирования правил аудита;

  • установкой соответствующих флагов выбрать действия, подлежащие аудиту. Выбранные успешные действия будут отмечены зеленым цветом, а выбранные неудачные действия — красным. Повторное нажатие на выбранном действии отменит выбор. Для регистрации доступны следующие действия:
    • o — открытие файла;
    • x — выполнение программы;
    • u — удаление файла;
    • d — изменение прав доступа к файлу;
    • n — изменение владельца файла;
    • a — смена списка регистрации событий;
    • r — управление списком прав доступа;
    • m — смена мандатных атрибутов;
    • c — создание файла;
    • y изменение файла.

Примечание. Установкой флага напротив строки возможно выбрать все действия в этой строке. Снятие флага отменит выбор всех действий в строке;

  • для сохранения правил аудита нажать за пределами панели редактирования правил аудита. Сохраненные правила будут отображены в соответствующей строке таблицы.

Удаление правила аудита:

  • во вкладке Аудит в соответствующей строке таблицы в столбце Обычный нажать [Удалить];
  • в отобразившемся окне нажать:
    • [Да] — чтобы полностью удалить пользователя или группу из таблицы;
    • [Нет] — чтобы удалить только правила аудита для данного пользователя или группы.

Сохранение настроек аудита — нажать [Да] в окне Свойства.

Аудит папок

Для настройки регистрации событий папки и ее содержимого необходимо:

  • запустить менеджер файлов от имени администратора;
  • в менеджере файлов вызвать контекстное меню папки и выбрать Свойства;
  • в открывшемся окне Свойства перейти во вкладку Аудит.

В столбце Обычный возможно настроить правило аудита самой папки.

В столбце По умолчанию возможно настроить аудит содержимого папки. Правило аудита содержимого папки распространяется на все файлы и дочерние папки, в том числе на те, которые будут созданы после установки правила. Если на файл или дочернюю папку в индивидуальном порядке были установлены другие правила аудита, они будут иметь более высокий приоритет.

Настройки аудита папки выполняются аналогично Аудит файлов и ярлыков.

Сохранение настроек аудита — нажать [Да] в окне Свойства.