Responsable suppression compte pc

[Larrycollins]

Bonjour ,

il y a quelqu'un qui a supprimé un compte d'ordinateur et j'aurais voulu savoir comment "démasquer" le coupable.

Dans les audits , cela a été configuré normalement sauf que les enregistrements ne concerne qu'une journée.

Ce n'est que 24h00 + tard que j'ai voulu m'y attaquer,malheuresement ds le journal des events concernant la sécurité je n'ai plus les évvènements du jour incriminé

sinon j'aurais fait une recherche sur catégorie:objet access et id=562

y a t-il une alternative pour démasquer le "coupable" ?

[bigstyle]

Tu n'as pas de sauvegarde quotidienne de ton DC ?

[Larrycollins]

si mais le backup est géré par 1 prestataire...et je voulais fr ça "discrètement" juste par curiosité

Tant pis, en général, les évènement pour la stratégie d'audit dans votre prod s'étale sur combien de jours?
1 jours ça me semble 1 peu léger...

[Timil]

Je garde 32Mo de logs au minimum, et avec les backups ca représente des mois d'activités.

[bigstyle]

La configuration de la taille des logs dépend vraiment des environnements et de la configuration de tes audits.

Tu as la possibilité de choisir comment gérer la taille de tes logs directement au niveau des proprietes du journal en question sur ton serveur (clique droit proprietes) ou bien via stratégies de groupe (le plus propre pour configurer une taille de fichiers "journal" de tes DC).

Tu peux par exemple choisir de ne pas définir de taille limite mais cela risque de saturer le disque dur. Le mieux est dans un premier temps de voir ce que représente en terme de Mo une activité moyenne quotidienne pour te faire une idée de la stratégie à adopter.

@+

[Timil]

Le mieux est de définir une durée maximal de rétention, sans limite de taille, et de faire des backup plusieurs fois dans cette limite.

L'idéal est d'avoir un outil de reporting avec une vrai BdD pour centraliser tout ça, si possible en mode lecture seul depuis les DC (outil de reporting isolé, et donc bien plus dur à corrompre).

[smarechal]

Le mieux est de définir une durée maximal de rétention, sans limite de taille, et de faire des backup plusieurs fois dans cette limite.

L'idéal est d'avoir un outil de reporting avec une vrai BdD pour centraliser tout ça, si possible en mode lecture seul depuis les DC (outil de reporting isolé, et donc bien plus dur à corrompre).

Bonjour,

Personnellement j'utilise Syslog-NG avec Php-syslog-Ng.
Tous les logs de tous les serveurs, switchs, routeur etc sont stockés dans une base MySQL sur un serveur indépendant.