Thaiadmin

Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท

0 สมาชิก และ 2 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ kong

  • *****
  • 452
  • 43
  • เพศ: ชาย
  • โปรดอย่า Reply ที่ไม่จำเป็น หรือ Spam Board ครับ
Windows Server: Event  Log Solution เก็บ Log ง่าย ๆ ไม่ต้องจ่ายสักบาท


สวัสดีครับ ห่างหายไปนานเลยเรื่องบทความ พอดีไปเรียนมาครับ ติดงานเยอะด้วย ตอนนี้พอจะว่าง จะรีบ ๆ ปั่นบทความมาแจกกันอ่านให้เยอะ ๆ นะครับ เป็นกำลังใจให้ด้วยละกันครับผม

สืบเนื่องมาจากกระแสการเก็บ Logs ตาม พรบ กำลังมาแรง

บทความข้างล่างต่อไปนี้เป็นบทความที่ช่วยให้เราสามารถเก็บ Server LOG ไฟล์ได้ตาม พรบ โดยให้ windows มัน Auto ทำให้ ผมทดสอบพร้อมกับใช้งานจริงมาแล้ว Work ! ! !  ครับผม

หมายเหตุ  *  *  1. โปรดพิจารณาในการเอาไปใช้ นะครับ บทความนี้เกิดจากประสบการณ์ของผมคนเดียว
      2. การทำตามด้านล่างนี้มีความเสี่ยงด้านการแก้ไขระบบ ควรทำการ Backup ทุกอย่างของคุณไว้ก่อนเสมอก่อนที่จะทำตาม
                        3. การตั้งค่าแบบนี้เป็นการเก็บ Logs ตาม พรบ เฉพาะด้าน Logs ของ Server ไม่เกี่ยวกับ Traffic Logs แต่อย่างได

หลักการในการทำงานของ Solution ผมคือ

1 สั่ง audit ให้ระบบ server ทำการเก็บ log ให้พอเพียงกับที่ขอบเขตที่ พรบ ต้องการ
2 ทำการย้ายพื้นที่ในการเก็บ Log ของ windows ไม่ให้ไปกองไว้ที่เดียวกับ system drive (เนื่องจากเราต้องเก็บไว้อย่างน้อง 90 วันบางทีอาจจะทำให้ system drive เต็ม) ควรหา disk ที่ว่าง ๆ เอาไว้เพื่อการนี้โดยเฉพาะ
3. ปรับแต่งค่าใน Windows เพื่อให้มันทำการ auto backup ไว้เป็น archive ให้เรา
4 (Option) ตั้งค่าการ Backup ด้วย Windows Backup อีกรอบเก็บไว้ยัง Media อื่น ๆ

มาเริ่มกันเลยดีกว่าครับ (หากอ่านข้อความด้านล่างไม่เข้าใจ แนะนำให้ ๆ ๆ  ย้อนกลับไปจุดเริ่มต้นทบทวนหลักการอีกรอบครับ)

1.ตั้ง Audit Policy ให้กับ Server เพื่อให้เก็บเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นพอที่จะไปเป็นหลักฐานทางด้าน IT ได้  

หาก Server เป็น Domain Controller ให้เปิด Domain controller Security




หากเป็น Server ธรรมดา ให้พิมพ์ command ที่ Run >> secpol.msc จะเจอหน้าตาเหมือนกันดังรูป




หน้าจอ Audit Policy    สั่ง Audit Policy ให้เหมือนกับรุปที่อยู่ด้านล่าง




สั่งให้ computer ทำการเก็บ Logs files ไว้ที่ Harddisk ที่มีความจุเยอะ ๆ (ในที่นี้ใช้เป็น D:\)

วิธีทำ

- พิมพ์ command ที่ Run >> regedit,
- ที่ Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
คลิ๊กที่  subkey ต่าง ๆ ที่อยุ่ใน Event viewer เช่น Application.
- ด้านขวามือหาคำว่า File
- แก้ไข Path จัดเก็บให้เรียบร้อย (เป็น path ที่เรียกเต็ม ๆ เช่น d:\eventlogs\ appevent.evt)
- ทำซ้ำให้ครบทุก Event Viewer ที่ต้องการแก้ไข path หลัก ๆ ก็มีดังรุปที่อยู่ด้านล่าง
- สั่งรีสตาร์ทเครื่องเพื่อให้มีผล




4. หลังจากที่ ทำการ รีสตาร์ทเครื่องแล้วให้ไปเพิ่ม option เพื่อให้มันทำการ auto backup ให้เราครับ ทำโดยการแก้ไข registry ที่เดิมครับโดยจากเดิมเปลี่ยนที่ option “File” คราวนี้เรามาเปลี่ยน Option “AutoBackupLogFiles” จากค่า 0 ให้เป็น 1 ครับ



5.หลังจากนั้นให้รีสตาร์ทเครื่องอีกทีครับ

6.จากนั้นให้เรามาปรับแก้ไขค่า Default Size ของ Event Viewer ในแต่ละอันให้เหมาะสมจากรูป หาก Security Logs มันเต็มที่ 131 MB ระบบจะทำการ Auto Backup ออกมาเป็น ไฟล์ที่ขึ้นต้นด้วยคำว่า Archive-xxxxxxx เองโดยอัตโนมัติ

*** อย่าลืมตั้งค่า ติ๊กไว้ตรงช่อง Do not Over write (Clear Log Manual นะครับ)   ตามรูปครับตามรูป






เพียงเท่านี้เราก็ไม่ต้องกังวลแล้วครับว่า Logs จะเต็มหรือถูกลบทิ้งไปเนื่องจากมันทำการ Archive ให้โดยอัตโนมัติที่เหลือก็คื่อทำการ zip ไว้หรือว่าทำการจัดเก็บลงเทปเพื่อความปลอดภัยอีกรอบ

ลองทำดูครับง่าย ๆ เพียงพอต่อความต้องการขององค์กรขนาดเล็ก-กลาง ครับไม่ต้องไปซื้อ Solution ให้เสียเวลา ทำเองแบบนี้พอเพียง เพียงพอแล้วขอรับ


มีข้อสงสัยเพิ่มเติม ติติงกันได้นะครับผม ขอบคุณครับ กำลังทะยอยเขียนอีก version นึงครับ รอสักครู่



7. เพิ่มเติมครับเพิ่มเติม หลังจากการตีความ พรบ ว่า Logs  ไฟล์นั้น               Administrator ห้ามแก้ไข ดังนั้นเราต้องไปเซ็ตค่าเพิ่มอีกนิดครับโดยการเข้าไปเซต Security Permission ของ Logs ที่เราแก้ไขค่าไป โดยทำการ Modify ให้ Administrator มีสิทธิ์แค่ Read ครับ แค่นี้ก็ยืนยันกับเจ้าหน้าที่ได้แล้วว่าเราไม่มีสิทธิ์ไปแก้ไขอะไร





« แก้ไขครั้งสุดท้าย: 27 เมษายน 2010, 11:01:49 โดย kong »
1. โปรดตั้งกระทู้ให้สื่อถึงปัญหาที่เจอ เพื่อเป็นประโยชน์ต่อคนที่มาค้นหาทีหลัง
2. ไม่ตอบคำถามกับคนที่ตั้งใจพิมพ์ภาษาไทยแบบผิด ๆ

http://www.mvpskill.com  กำลังซ่อมแซม KB ครับ

5o0

Re: Windows Server >>>> Event Log Solution เก็บ Log ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #1 เมื่อ: 6 กันยายน 2008, 09:01:08 »
มันเก็บอะไรบ้างอะครับ  ตอนนี้ไม่ได้ลง window server  เลยยังไม่ได้ทดสอบครับ

ออฟไลน์ kong

  • *****
  • 452
  • 43
  • เพศ: ชาย
  • โปรดอย่า Reply ที่ไม่จำเป็น หรือ Spam Board ครับ
Re: Windows Server >>>> Event Log Solution เก็บ Log ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #2 เมื่อ: 6 กันยายน 2008, 13:13:12 »
มันเก็บอะไรบ้างอะครับ  ตอนนี้ไม่ได้ลง window server  เลยยังไม่ได้ทดสอบครับ


เก็บ Activities ที่เกิดขึ้นบน Windows Server นั้น ๆ ครับ โดยจะแยกเป็นประเภทเช่น

- Application >> เก็บบันทึกเรื่องต่าง ๆ เกียวกับ Appilcation ในเครื่องนั้น
- System >> เก็บบันทึกเกี่ยวกับการทำงานของระบบ เช่น เปิด ปิด services ทำงาน หรือ หยุดไป มีอะไร Error ที่ทำให้ Windows มีปัญหา
- Security >> เก็บบันทึกเกี่ยวกับข้อมูลด้านความปลอดภัย เช่นใครพิมพ์ password ผิด ใครแอบลบไฟล์ ใครแก้ไขค่าของ Folder ใคร ใคร ใคร ใคร ใค๊รรรรรรรรรรรรร




1. โปรดตั้งกระทู้ให้สื่อถึงปัญหาที่เจอ เพื่อเป็นประโยชน์ต่อคนที่มาค้นหาทีหลัง
2. ไม่ตอบคำถามกับคนที่ตั้งใจพิมพ์ภาษาไทยแบบผิด ๆ

http://www.mvpskill.com  กำลังซ่อมแซม KB ครับ

ออฟไลน์ E22YGQ

  • **
  • 152
  • 1
  • เพศ: ชาย
ขอขุดหน่อยนะครับ

***ใครแอบลบไฟล์ ใครแก้ไขค่าของ Folder
อยากทราบว่าตรงนี้เข้าไปเช็ครายละเอียดยังไงครับผม ขอบคุณครับ
เพราะว่าไฟล์ 1ไฟล์ มียูสเซอร์ ที่มีสิทธิแก้ไขได้2คนขึ้นไป อยากรู้ว่าใครแก้ไขก่อนหลังแบบนี้ได้ไหมครับ ขอบคุณครับ
« แก้ไขครั้งสุดท้าย: 12 กันยายน 2008, 11:12:40 โดย IT a.d.m.i.n »

abass

ขอบคุณมากครับ คุณ Kong  แต่ผมยังหาไม่เจอครับ ว่า log ที่บอกว่า "ใคร login เข้ามาเมื่อไหร่และทำอะไรบ้าง มันอยู่ตรงไหนครับ" ผมหาไม่เจอ
แล้ว log ไหนที่บ่งบอกถึงการพิสูจน์ตัวตน   
ผมอยากติดต่อคุณ kong โดยตรงครับ  ขอเบอร์ E-mail และเบอร์โทรศัพท์ ได้มั้ยครับ
ผมต้องการความช่วยเหลือจริงๆ  ครับ

เอบี โทร. 0804050108
e-mail : pipop_abass@hotmail.com

ออฟไลน์ kong

  • *****
  • 452
  • 43
  • เพศ: ชาย
  • โปรดอย่า Reply ที่ไม่จำเป็น หรือ Spam Board ครับ
ขอบคุณมากครับ คุณ Kong  แต่ผมยังหาไม่เจอครับ ว่า log ที่บอกว่า "ใคร login เข้ามาเมื่อไหร่และทำอะไรบ้าง มันอยู่ตรงไหนครับ" ผมหาไม่เจอ
แล้ว log ไหนที่บ่งบอกถึงการพิสูจน์ตัวตน   
ผมอยากติดต่อคุณ kong โดยตรงครับ  ขอเบอร์ E-mail และเบอร์โทรศัพท์ ได้มั้ยครับ
ผมต้องการความช่วยเหลือจริงๆ  ครับ

เอบี โทร. 0804050108
e-mail : pipop_abass@hotmail.com

รับทราบและรับปากมาตอบให้ตอนเย็นนะครับ เนื่องจากเนตที่ทำงานผมช้ามาก จิ้ม ๆ อยู่หลุด  :'(

ขอกลับไปบ้านตอบยาว ๆ ให้ดีกว่าครับ

สงวนพื้นที่ในบทความนี้สำหรับคำถามและข้อแนะนำครับ ถ้าจะขอบคุณ และกำลังใจ ขอปุ่ม Thank You / Confirmed / และจิตพิสัยแทนนะขอรับ

เจอกันตอนเย็นครับผม

ก้อง
1. โปรดตั้งกระทู้ให้สื่อถึงปัญหาที่เจอ เพื่อเป็นประโยชน์ต่อคนที่มาค้นหาทีหลัง
2. ไม่ตอบคำถามกับคนที่ตั้งใจพิมพ์ภาษาไทยแบบผิด ๆ

http://www.mvpskill.com  กำลังซ่อมแซม KB ครับ

saviola

ขอบคุณครับจะรอตอนต่อไปครับ

ออฟไลน์ Begin Ad_min

  • *****
  • 710
  • 17
  • เพศ: ชาย
  • หยาดเหงื่อ
สงสัยหลายอย่างเลย  งั้นถามนี้ก่อน

permission ทีกำหนด  Administrator ห้าม Mo ใช้ไหมครับ แต่ถ้าเรา
Security    Advanced  Auditing   Add..     Administrator  มันก็สามารถปรับแก้ได้อยู่ดีผมเข้าใจถูกไหมครับ
เอ็งกินเหล้าเมายา ไม่ว่าดอก แต่อย่าออก นอกทางไป ให้เสียผล เอ็งอย่ากินสินบาท คาดสินบท เรามันคนชั้นปัญญา ตุลาการ<br /><br />ยินดีให้ปรึกษาปัญหากฎหมายสำหรับ ท่าน<!reader!/>ครับ จะ PM หรือจะตั้งกระทู้ก็ตามสดวกครับ<br /><br />ไม่มีตั๋ว ไม่ได้เน แต่คิดว่าอาจไขข้อข้องใจได้ ยินดีช่วยครับ<br />อยากให้คนไทยทุกคนรู้กฎหมาย...<br /><br />และแล้วในวันนี้  ได้เริ่มแทนคุณ Thaiadmin....  แล้ว และจะแทนคุณต่อไปจน

ออฟไลน์ regis100

  • ****
  • 177
  • 0
  • เพศ: ชาย
เอาไปใช้กับ file server ที่เป็น win 2k จะได้ไม๊คับ หลักการเดียวกันไม๊คับ

ออฟไลน์ ชายเดี่ยว

  • *
  • 578
  • 5
  • เพศ: ชาย
  • ชายเดี่ยว <IT Never Die>
Windows Server: Event  Log Solution เก็บ Log ง่าย ๆ ไม่ต้องจ่ายสักบาท


สวัสดีครับ ห่างหายไปนานเลยเรื่องบทความ พอดีไปเรียนมาครับ ติดงานเยอะด้วย ตอนนี้พอจะว่าง จะรีบ ๆ ปั่นบทความมาแจกกันอ่านให้เยอะ ๆ นะครับ เป็นกำลังใจให้ด้วยละกันครับผม

สืบเนื่องมาจากกระแสการเก็บ Logs ตาม พรบ กำลังมาแรง

บทความข้างล่างต่อไปนี้เป็นบทความที่ช่วยให้เราสามารถเก็บ Server LOG ไฟล์ได้ตาม พรบ โดยให้ windows มัน Auto ทำให้ ผมทดสอบพร้อมกับใช้งานจริงมาแล้ว Work ! ! !  ครับผม

หมายเหตุ  *  *  1. โปรดพิจารณาในการเอาไปใช้ นะครับ บทความนี้เกิดจากประสบการณ์ของผมคนเดียว
      2. การทำตามด้านล่างนี้มีความเสี่ยงด้านการแก้ไขระบบ ควรทำการ Backup ทุกอย่างของคุณไว้ก่อนเสมอก่อนที่จะทำตาม
                        3. การตั้งค่าแบบนี้เป็นการเก็บ Logs ตาม พรบ เฉพาะด้าน Logs ของ Server ไม่เกี่ยวกับ Traffic Logs แต่อย่างได

หลักการในการทำงานของ Solution ผมคือ

1 สั่ง audit ให้ระบบ server ทำการเก็บ log ให้พอเพียงกับที่ขอบเขตที่ พรบ ต้องการ
2 ทำการย้ายพื้นที่ในการเก็บ Log ของ windows ไม่ให้ไปกองไว้ที่เดียวกับ system drive (เนื่องจากเราต้องเก็บไว้อย่างน้อง 90 วันบางทีอาจจะทำให้ system drive เต็ม) ควรหา disk ที่ว่าง ๆ เอาไว้เพื่อการนี้โดยเฉพาะ
3. ปรับแต่งค่าใน Windows เพื่อให้มันทำการ auto backup ไว้เป็น archive ให้เรา
4 (Option) ตั้งค่าการ Backup ด้วย Windows Backup อีกรอบเก็บไว้ยัง Media อื่น ๆ

มาเริ่มกันเลยดีกว่าครับ (หากอ่านข้อความด้านล่างไม่เข้าใจ แนะนำให้ ๆ ๆ  ย้อนกลับไปจุดเริ่มต้นทบทวนหลักการอีกรอบครับ)

1.ตั้ง Audit Policy ให้กับ Server เพื่อให้เก็บเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นพอที่จะไปเป็นหลักฐานทางด้าน IT ได้ 

หาก Server เป็น Domain Controller ให้เปิด Domain controller Security




หากเป็น Server ธรรมดา ให้พิมพ์ command ที่ Run >> secpol.msc จะเจอหน้าตาเหมือนกันดังรูป




หน้าจอ Audit Policy    สั่ง Audit Policy ให้เหมือนกับรุปที่อยู่ด้านล่าง




สั่งให้ computer ทำการเก็บ Logs files ไว้ที่ Harddisk ที่มีความจุเยอะ ๆ (ในที่นี้ใช้เป็น D:\)

วิธีทำ

- พิมพ์ command ที่ Run >> regedit,
- ที่ Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
คลิ๊กที่  subkey ต่าง ๆ ที่อยุ่ใน Event viewer เช่น Application.
- ด้านขวามือหาคำว่า File
- แก้ไข Path จัดเก็บให้เรียบร้อย (เป็น path ที่เรียกเต็ม ๆ เช่น d:\eventlogs\ appevent.evt)
- ทำซ้ำให้ครบทุก Event Viewer ที่ต้องการแก้ไข path หลัก ๆ ก็มีดังรุปที่อยู่ด้านล่าง
- สั่งรีสตาร์ทเครื่องเพื่อให้มีผล




4. หลังจากที่ ทำการ รีสตาร์ทเครื่องแล้วให้ไปเพิ่ม option เพื่อให้มันทำการ auto backup ให้เราครับ ทำโดยการแก้ไข registry ที่เดิมครับโดยจากเดิมเปลี่ยนที่ option “File” คราวนี้เรามาเปลี่ยน Option “AutoBackupLogFiles” จากค่า 0 ให้เป็น 1 ครับ



5.หลังจากนั้นให้รีสตาร์ทเครื่องอีกทีครับ

6.จากนั้นให้เรามาปรับแก้ไขค่า Default Size ของ Event Viewer ในแต่ละอันให้เหมาะสมจากรูป หาก Security Logs มันเต็มที่ 131 MB ระบบจะทำการ Auto Backup ออกมาเป็น ไฟล์ที่ขึ้นต้นด้วยคำว่า Archive-xxxxxxx เองโดยอัตโนมัติ

*** อย่าลืมตั้งค่า ติ๊กไว้ตรงช่อง Do not Over write (Clear Log Manual นะครับ)   ตามรูปครับตามรูป






เพียงเท่านี้เราก็ไม่ต้องกังวลแล้วครับว่า Logs จะเต็มหรือถูกลบทิ้งไปเนื่องจากมันทำการ Archive ให้โดยอัตโนมัติที่เหลือก็คื่อทำการ zip ไว้หรือว่าทำการจัดเก็บลงเทปเพื่อความปลอดภัยอีกรอบ

ลองทำดูครับง่าย ๆ เพียงพอต่อความต้องการขององค์กรขนาดเล็ก-กลาง ครับไม่ต้องไปซื้อ Solution ให้เสียเวลา ทำเองแบบนี้พอเพียง เพียงพอแล้วขอรับ


มีข้อสงสัยเพิ่มเติม ติติงกันได้นะครับผม ขอบคุณครับ กำลังทะยอยเขียนอีก version นึงครับ รอสักครู่



7. เพิ่มเติมครับเพิ่มเติม หลังจากการตีความ พรบ ว่า Logs  ไฟล์นั้น               Administrator ห้ามแก้ไข ดังนั้นเราต้องไปเซ็ตค่าเพิ่มอีกนิดครับโดยการเข้าไปเซต Security Permission ของ Logs ที่เราแก้ไขค่าไป โดยทำการ Modify ให้ Administrator มีสิทธิ์แค่ Read ครับ แค่นี้ก็ยืนยันกับเจ้าหน้าที่ได้แล้วว่าเราไม่มีสิทธิ์ไปแก้ไขอะไร






ที่ออฟฟิศผมมี ISA Server ด้วยและ ในกรณีที่ต้องการใช้เก็บ Log การใช้ internet จะได้ด้วยหรือเปล่าครับ
ขอบคุณครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ TechToy

  • ***
  • 166
  • 2
  • เพศ: ชาย
  • อยากรู้ ต้องลอง
    • counterserviceonline
ISA มี log ของตัวเองครับ จัดพื้นที่เก็บให้เพียงพอก็โอเคแล้วครับ O0
คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!

ออฟไลน์ chaiyutk

  • *
  • 579
  • 3
  • เพศ: ชาย
  • TH@min Membership
    • ITDoubleService
สงสัยหลายอย่างเลย  งั้นถามนี้ก่อน

permission ทีกำหนด  Administrator ห้าม Mo ใช้ไหมครับ แต่ถ้าเรา
Security    Advanced  Auditing   Add..     Administrator  มันก็สามารถปรับแก้ได้อยู่ดีผมเข้าใจถูกไหมครับ

เราเป็นคนกำหนด permission เองแล้วแก้ได้เองมันจะใช้ได้หรอครับ ผมกลัวตรง แก้ไข logs นี่แหละครับที่เป็นปัญหา
จะทำยังไงให้ logs แก้ไม่ได้ (ถ้าอย่างที่บอก admin แก้ได้ครับ) มันจะตรงพรบ หรอครับ
http://www.itdoubleservice.com/

" การหยุดอยู่กับที่ ไม่เรียนรู้สิ่งใหม่ๆ ก็เหมือนกับคุณเริ่มถอยหลังแล้ว "

เนื่องจาก ผมมี Serv. AD อยู่ตัว 1 แต่ว่า การใช้งานของ Net นั้นเครื่อง Client จะต่อตรงผ่าน Router แล้วจะใช้วิธีนี้ ช่วยเก็บ Log ได้
หมดไหมครับ
<b> Kaspersky  </b>

ออฟไลน์ TechToy

  • ***
  • 166
  • 2
  • เพศ: ชาย
  • อยากรู้ ต้องลอง
    • counterserviceonline
เนื่องจาก ผมมี Serv. AD อยู่ตัว 1 แต่ว่า การใช้งานของ Net นั้นเครื่อง Client จะต่อตรงผ่าน Router แล้วจะใช้วิธีนี้ ช่วยเก็บ Log ได้
หมดไหมครับ
ต่อตรงผ่าน router ก็เก็บไม่ได้สิครับ
เป็นการเก็บ Event ของ server นั้นๆเท่านั้นครับ
ถ้าจะให้เก็บ Log การใช้งาน Internet ลองตั้ง proxy server (squid ก็ได้ ง่ายดี) แล้วลง syslogng ช่วยเก็บอีกแรงครับ
คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!

pronruthai_i

ขอขุดหน่อยนะครับ

***ใครแอบลบไฟล์ ใครแก้ไขค่าของ Folder
อยากทราบว่าตรงนี้เข้าไปเช็ครายละเอียดยังไงครับผม ขอบคุณครับ
เพราะว่าไฟล์ 1ไฟล์ มียูสเซอร์ ที่มีสิทธิแก้ไขได้2คนขึ้นไป อยากรู้ว่าใครแก้ไขก่อนหลังแบบนี้ได้ไหมครับ ขอบคุณครับ

เจอปัญหาพอดีค่ะ มีคนแอบลบไฟล์และFolder ไม่รู้ไปเช็คตรงไหน รบกวนหน่อย ค่ะ :)

*** ใครแอบลบไฟล์ แก้ไขค่าของ Folder ****

1. Set ที่ Domain Controller Security Policy ->  Local Policy  -> Audit Policy   แล้ว Set policy ที่ชื่อว่า Audit Object Access
2. ไปที่  File หรือ Folder ทีต้องการ audit   คลิกขวา Property -> Security -> Advance  -> Auditing -> Add -> ใส่ User ที่ต้องการ audit หรือ everyone  แล้วเลือก activity ที่ต้องการ audit เช่น  delete ,  create folder เป็นต้น
3. หลังจาก set เรียบร้อยแล้วหากมีเหตุการณ์ที่ set ไว้กับ File หรือ Folder นั้น ๆ ให้ไปตรวจสอบที่ Event Viewer  กลุ่ม Security  ->  Category = Object Access

ลองดูคร้า...บ  :P
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

jogabonito

Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #16 เมื่อ: 3 พฤศจิกายน 2008, 11:30:22 »
รูปหายอ่ะครับ อัฟให้ใหม่หน่อยนะครับ มีประโยชน์มากๆ  O0 O0

kinkow

Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #17 เมื่อ: 10 พฤศจิกายน 2008, 12:37:42 »
รูปหายอ่ะครับ รบกวนอัพให้หน่อยได้ใหมครับ ขอบคุณล่วงหน้า O0

nuThaiAdm

Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #18 เมื่อ: 11 พฤศจิกายน 2008, 13:52:32 »
เข้ามากอ่านกระทู้นี้ แล้วทำไมมองไม่เห็นภาพครับ ช่วยด้วยครับ อยากรู้เรื่องนี้อยู่พอดี ขอบคุณครับ

ออฟไลน์ PresidentYO!

  • ***
  • 210
  • 0
  • เพศ: ชาย
  • ประธานโหยว๋
    • http://chetsakservice.hi5.com
Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #19 เมื่อ: 13 พฤศจิกายน 2008, 15:23:27 »
ทำไมไม่เห็นรูปหละครับ
Modurator  http://www.wave.ipbfree.com
รถซื้อแกงจะแรงได้ไง

aimer

Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #20 เมื่อ: 19 พฤศจิกายน 2008, 09:11:57 »
ขอบคุณมากคะ มีประโยชน์สุดๆ  O0 O0

ใครก็ได้อัพรูปทีคะ เพื่อประโยชน์อันสูงสุด  ;D ;D

ออฟไลน์ kong

  • *****
  • 452
  • 43
  • เพศ: ชาย
  • โปรดอย่า Reply ที่ไม่จำเป็น หรือ Spam Board ครับ
Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #21 เมื่อ: 19 พฤศจิกายน 2008, 17:04:53 »
ขอบคุณมากคะ มีประโยชน์สุดๆ  O0 O0

ใครก็ได้อัพรูปทีคะ เพื่อประโยชน์อันสูงสุด  ;D ;D

แฮ่ก ๆ


ขอโทษด้วยครับ Hosting เดิมพังครับ T T" พึ่งรู้ว่ารูปเลยเข้าดูไม่ได้ ขอบคุณท่าน สมาชิก ETON และ daddydog ที่แจ้งเตือนทาง PM ครับผม
1. โปรดตั้งกระทู้ให้สื่อถึงปัญหาที่เจอ เพื่อเป็นประโยชน์ต่อคนที่มาค้นหาทีหลัง
2. ไม่ตอบคำถามกับคนที่ตั้งใจพิมพ์ภาษาไทยแบบผิด ๆ

http://www.mvpskill.com  กำลังซ่อมแซม KB ครับ

ออฟไลน์ ok

  • *****
  • 337
  • 0
  • โลกธรรม 8
Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #22 เมื่อ: 28 พฤศจิกายน 2008, 11:16:38 »
เก็บเรียบร้อยแล้วครับ


ใน security เก็บมาเยอะเลย

แล้ว Event หมายเลข อะไรครับที่บอกว่า user log on / off

ใช่ 540 กับ 538 ไหมครับ

Chanachai06

เนื่องจาก ผมมี Serv. AD อยู่ตัว 1 แต่ว่า การใช้งานของ Net นั้นเครื่อง Client จะต่อตรงผ่าน Router แล้วจะใช้วิธีนี้ ช่วยเก็บ Log ได้
หมดไหมครับ


ไม่ได้ครั บต้องหาโปรแกรม  จำพวก Proxy Server ที่มีการ Authentication ก่อนใช่งาน Internet และเราจะเป็นที่จะต้องเก็บ Log เหล่านั้นด้วยครับ

ขอถามเพิ่มเติมครับ แล้วสามารถดู Log ของการ modify share folder หรือแก้ไข permission ของ folder ด้วยได้ไหมครับ เช่น มีการ share folder ไว้ แล้วอยู่ๆ folder ที่เคย share ไว้มันไม่ได้ share จะเช็คได้ไหมครับ ว่าใครแก้ไข หรือเกิดอะไรขึ้น  ปล. แล้วถ้ายังไม่ได้ทำตามขั้นตอนการเก็บ log ในกระทู้นี้พอที่จะสามารถเช็คได้ไหมครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

tea

ผมลองเปิด eventlogs ที่เก็บได้ ทำไมมันเป็นสี่เหลี่ยมอ่านไม่รู้เรื่องเลยครับ หรือต้องใช้โปรแกรมอะไรเปิดพิเศษหรือเปล่าครับ

สุคนธ์

ผมอยากสอบถามว่า ตอนนี้เป็นครูสอนหนังสืออยู่โรงเรียนแห่งหนึ่ง ซึ่งมีเครื่อง Server 4 ตัว
และ 2 ตัวแรกใช้เป็น DHCP Server ซึ่งให้บริการเครื่องลูกข่ายประมาณ  700  เครื่อง  ความเร็ว  30 Mbps

ซึ่งใช้ ระบบวินโดวส์ server 2003 R2  อยู่ครับ ผมอยากทราบวิธีการติดตั้ง หรือตั้งค่าให้ผู้ใช้บริการ ต้อง Login ก่อน ถึงจะใช้งานอินเตอร์เน็ตได้
และนักเรียนแต่ละคน มี Login เป็นของตนเอง ไม่ซ้ำกัน และการ Login แต่ละครั้ง ระบบสามารถแสดงประวัติ การเข้าระบบย้อนหลังไม่เกิน 25 ครั้ง

และระบบสามารถเก็บ Log File ได้ 90 วัน ตาม  พรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์   และตอนนี้ผมยังไม่ได้ติดตั้งระบบระบุตัวตนใดใดเลยครับ
วอนผู้รู้  ช่วยแนะนำทีครับ ขอบคุณครับ

หรือจะเมลล์มาหาผมได้ครับ  sothonpit@gmail.com

kiat

เพิ่มเติม
Event 675 ใช้สำหรับตรวจจับ Login Fail ครับ
 >:D
ThaiSolar

ออฟไลน์ pwizard

  • ***
  • 939
  • 6
แล้วทำไมจากในรูปมันแค่ 128 kb มันก็ achive แล้ว หรือว่า test ให้เห็นภาพ
ไม่ใช่ 131 mb นี้ครับ
Job Freelance
-- Implement Endian Firewall ทุกระบบ
-- Upgrade Windows Server 2003 to 2008
-- รับถ่ายรูป http://www.konayutthaya.com/peephoto/
-- ติดต่อ 083-1888434/086-4107430 Pee

ออฟไลน์ ปลาทอง

  • *****
  • 435
  • 1
  • เพศ: ชาย
  • ขอโอกาสสักครั้ง....
สามารถเก็บชื่อคอมพิวเตอร์ ไอพีแอดเดรสได้ด้วยไหมครับ แล้วถ้าจะทำ report สามารถทำเป็น Web ดึงข้อมูลออกมาได้ไหมครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ lusifer

  • *****
  • 2,987
  • 11
  • เพศ: ชาย
  • Create new planet
ลองทำแล้วครับ ขอบคุณมากครับ
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

ออฟไลน์ supparat

  • ***
  • 46
  • 0
Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #31 เมื่อ: 26 มิถุนายน 2009, 15:38:21 »
ทำแล้ว ระวังจะมีปัญหาเรื่อง log full ตอน log on ครับ
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

ออฟไลน์ pwizard

  • ***
  • 939
  • 6
รุปมันหายไปแล้วครับ
Job Freelance
-- Implement Endian Firewall ทุกระบบ
-- Upgrade Windows Server 2003 to 2008
-- รับถ่ายรูป http://www.konayutthaya.com/peephoto/
-- ติดต่อ 083-1888434/086-4107430 Pee

pong123456789

ที่บอกว่าไม่ต้องจ่ายซักบาท คือว่า ลืมคิดค่าลิขสิทธิ์ของ Windows Server หรือเปล่าครับ  น่าจะแพงอยู่นะ   :P

ketaway

Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #34 เมื่อ: 17 พฤศจิกายน 2009, 17:25:08 »
เข้ามาไม่ทันรูปหายไปแล้ว

ออฟไลน์ IiIMisterXIiI

  • *
  • 146
  • 0
  • เพศ: ชาย
Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #35 เมื่อ: 19 พฤศจิกายน 2009, 08:45:10 »
รูปหายไปแล้ว มาดูไม่ทัน
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

ออฟไลน์ Chay_SA

  • ****
  • 77
  • 0
  • เพศ: ชาย
  • ??? +-+เรียนรู้ ฝึกฝน พัฒนา+-+???

พี่ก้อง  หรือ ใครก้ได้ครับ  ถ้ามีรูปรบกวนลงรูปให้ใหม่หน่อยได้มั้ย ครับ



ขอบคุณครับ

รูปหายครับ อยากได้รูปครับ
iT_Admin_Beginning...

ออฟไลน์ เด็กด้อยโอกาส

  • *****
  • 186
  • 0
  • เพศ: ชาย
  • เด็กน้อย ด้อยโอกาส
    • http://www.diamondaccounting-boi.com/
Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #38 เมื่อ: 17 กุมภาพันธ์ 2010, 11:31:33 »
ขอบคุณครับ
รับทำบัญชีชลบุรี,ตรวจสอบบัญชีชลบุรี,จดทะเบียนบริษัทชลบุรี,รับทำBOIชลบุรี 089-543-2716 k.หน่อย 081-3434037 k.ปู
http://www.diamondaccounting-boi.com/

รูป หายครับ  :(

ออฟไลน์ khanclub

  • *
  • 587
  • 0
  • เพศ: ชาย
  • รอยยิ้มไม่กินน้ำมัน
    • http://auto4t.spaces.live.com/
รูปไม่ขึ้น ครับ ขอรูปดูอีกครั้ง นะครับ ขอบคุณครับ
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

bantatai

ขอบคุณครับ

ออฟไลน์ kong

  • *****
  • 452
  • 43
  • เพศ: ชาย
  • โปรดอย่า Reply ที่ไม่จำเป็น หรือ Spam Board ครับ
สวัสดีครับ

เอารูปกลับคืนมาให้แล้วนะครับทุกท่าน (ต้องขอโทษด้วยที่ทิ้งให้รูปหายไปนานครับ)

ขออภัยอีกครั้งที่จอดับครับ แฮ่ะ ๆ
1. โปรดตั้งกระทู้ให้สื่อถึงปัญหาที่เจอ เพื่อเป็นประโยชน์ต่อคนที่มาค้นหาทีหลัง
2. ไม่ตอบคำถามกับคนที่ตั้งใจพิมพ์ภาษาไทยแบบผิด ๆ

http://www.mvpskill.com  กำลังซ่อมแซม KB ครับ

ออฟไลน์ bhpong

  • *****
  • 7
  • 0
Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #43 เมื่อ: 7 มิถุนายน 2010, 21:39:43 »
แล้ว Windows Logs เอาไปใช้ประโยชน์ยังไงครับ.....

อยากรู้ ........

ต้องใช้คู่กับ tool อะไร หรือ software
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ xkun

  • *****
  • 30
  • 0
7. เพิ่มเติมครับเพิ่มเติม หลังจากการตีความ พรบ ว่า Logs  ไฟล์นั้น               Administrator ห้ามแก้ไข ดังนั้นเราต้องไปเซ็ตค่าเพิ่มอีกนิดครับโดยการเข้าไปเซต Security Permission ของ Logs ที่เราแก้ไขค่าไป โดยทำการ Modify ให้ Administrator มีสิทธิ์แค่ Read ครับ แค่นี้ก็ยืนยันกับเจ้าหน้าที่ได้แล้วว่าเราไม่มีสิทธิ์ไปแก้ไขอะไร

ผมแก้ไม่ได้อะคับ  มัน grey out ไม่ให้ติ๊กออกเลย

Windows server 2008 นะคับ

ออฟไลน์ Nicky

  • *
  • 2
  • 0
Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #45 เมื่อ: 12 กุมภาพันธ์ 2012, 14:39:36 »
รายงานตัวค่ะ... เพิ่งเข้ามา.. กะลังอ่านอยู่ค่ะ

ออฟไลน์ lnontakorn

  • *
  • 846
  • 2
  • เพศ: ชาย
Re: Windows Server >>>> Event Log Solution เก็บ Log ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #46 เมื่อ: 2 กุมภาพันธ์ 2013, 16:53:01 »

เก็บ Activities ที่เกิดขึ้นบน Windows Server นั้น ๆ ครับ โดยจะแยกเป็นประเภทเช่น

- Application >> เก็บบันทึกเรื่องต่าง ๆ เกียวกับ Appilcation ในเครื่องนั้น
- System >> เก็บบันทึกเกี่ยวกับการทำงานของระบบ เช่น เปิด ปิด services ทำงาน หรือ หยุดไป มีอะไร Error ที่ทำให้ Windows มีปัญหา
- Security >> เก็บบันทึกเกี่ยวกับข้อมูลด้านความปลอดภัย เช่นใครพิมพ์ password ผิด ใครแอบลบไฟล์ ใครแก้ไขค่าของ Folder ใคร ใคร ใคร ใคร ใค๊รรรรรรรรรรรรร






แล้วถ้าเป็นเครื่องที่ลง windows ธรรมดาละครับ windows 7,XP สามารถตั้งเก็บ  Log file เพื่อ check ดูว่าใครเข้ามาเปิดดูข้อมูลในเครื่องเราได้ไหมครับ และตรวจสอบได้ไหมครับ ว่าเขาเปิดใช้งานโปรแกรมอะไรได้บ้างครับ
ผิดเป็นครู ผู้ไม่รู้ย่อมไม่ผิด


ขอบคุณมากครับ   :D :D :D :D :D :D :D :D

ออฟไลน์ lnontakorn

  • *
  • 846
  • 2
  • เพศ: ชาย
มองไม่เห็นภาพเลยครับ  :'( :'( :'( :'( :'( :'( :'(
ผิดเป็นครู ผู้ไม่รู้ย่อมไม่ผิด

ออฟไลน์ saza1940

  • ***
  • 48
  • 0
รูปบ่มีเน้ออออออ :'( :'( :'( :'( :'( :'(

ออฟไลน์ winit.c

  • *
  • 11
  • 0
รูปไม่มีครับ

Re: Windows Server >> Event Log Solution เก็บ Log 90 วัน ง่าย ๆ ไม่ต้องจ่ายสักบาท
« ตอบกลับ #52 เมื่อ: 6 มิถุนายน 2016, 09:39:53 »
รูปหายหมดแล้วครับ