En las fases previas, definidas a través de los anteriores Post, se había dejado instalado el sistema y registrando eventos en nuestro sistema Quest ChangeAuditor. El siguiente paso consisten en afinar que eventos desean registrarse. Para ello modificaremos los templates o platillas, que configuraran los eventos que se registrarán.
Las plantillas se crean desde la pestaña de Administración. Para ello se deberá pulsar CTRL+F12 o bien a través del menú View -> Administration. En la parte izquierda, en el menú Auditing, se encuentran los diferentes módulos de Quest ChangeAuditor. Entre ellos podernos encontrar el de FileSystem sobre el que se operará. Nos aparecerá una ventana para la administración de las plantillas asociadas a FileSystem (sistema de ficheros). En la siguiente figura se encuentra señalada la creación de plantillas y su edición.
Fig.- 1 Administración Templates FileSystem.
Una plantilla es una definición de reglas para registrar o no los eventos que el sistema va generar. Cuando creamos uno nuevo, pulsando en añadir de la imagen anterior, sale una pantalla para la creación de la plantilla con los eventos que nosotros decidamos tal y como se muestra en la siguiente figura.
Fig. 2.- Template Quest ChangeAuditor.
En estas plantillas podemos tanto seleccionar la carpeta, fichero o bien todo el disco duro que vamos a monitorizar, Esto se realiza seleccionándolo en la parte Audit Path.
Una vez seleccionado el fichero o la carpeta procederemos a la selección de eventos para su monitorización. Estos eventos van desde el acceso a la carpeta a los cambios en un fichero en sus atributos. No solo se seleccionan los eventos, además entre las operaciones podemos incluir ciertos ficheros o excluirlos de la monitorización. En la parte de inclusiones hemos de introducir un * para monitorizar todo el contenido de una carpeta o decidir que elementos uno a uno queremos monitorizar.
Fig.- 3 Inclusión de monitorización
Con esta selección, pulsamos el botón siguiente para indicar los programas que pueden modificar algo en los objetos monitorizados. Al aplicar este filtro eliminamos falsos positivos conocidos o programas que han de realizar modificaciones y son conocidos por los administradores del sistema.
Fig.-4 Selección de programas para permitirles modificaciones
Con ello finalizamos la creación de nuestra plantilla, definiendo el grado de granularidad de la monitorización que realizará Quest ChangeAuditor FileSystem.
Un saludo
Enviado
sep 01 2010, 01:18
por
Ignacio Briones