Bonjour,



Je possède une unité de production composée de 3 serveurs sous
Windows 2003 Std.
J'ai de gros problèmes de déplacements ou suppressions volontaires
de dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
scrupuleux.
J'ai activé les audits, mais la lecture des journaux est très
compliquée étant donné le nombre d'utilisateurs et le nombre d'accès
journaliers.
Je ne sais pas du tout comment je pourrais optimiser la lecture et
la recherche d'évennements. L'idéal et je ne sais pas si ça existe,
serait de pouvoir extraire en base de données, les informations des
différents journaux d'évennements.

Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?

Existe t-il une application pouvant centraliser mes journaux?

Quelqu'un a t-il déjà été confronté à ce genre de problème, et
comment a t-il pu le résoudre?

Merci!

David.

Bonjour,

Microsoft Operation Manager est le logiciel qui peut répondre à cette
problématique.
Autrement, si vous connaissez le vbscript, vous pourriez développer un
script qui analyserait les journaux pour vous (attendu que la suppression
des fichiers correspond à un ID spécifique).

Thierry Frache

"David" <nospam@free.fr> wrote in message
news:46a8d46b$0$10026$426a74cc@news.free.fr...
> Bonjour,
>
>
>
> Je possède une unité de production composée de 3 serveurs sous Windows
> 2003 Std.
> J'ai de gros problèmes de déplacements ou suppressions volontaires de
> dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
> scrupuleux.
> J'ai activé les audits, mais la lecture des journaux est très
> compliquée étant donné le nombre d'utilisateurs et le nombre d'accès
> journaliers.
> Je ne sais pas du tout comment je pourrais optimiser la lecture et la
> recherche d'évennements. L'idéal et je ne sais pas si ça existe, serait de
> pouvoir extraire en base de données, les informations des différents
> journaux d'évennements.
>
> Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?
>
> Existe t-il une application pouvant centraliser mes journaux?
>
> Quelqu'un a t-il déjà été confronté à ce genre de problème, et comment
> a t-il pu le résoudre?
>
> Merci!
>
> David.

On 27 juil, 08:50, "Thierry Frache" <tfra...@NOSPAM.msftlab.info>
wrote:
> Bonjour,
>
> Microsoft Operation Manager est le logiciel qui peut répondre à cette
> problématique.
> Autrement, si vous connaissez le vbscript, vous pourriez développer un
> script qui analyserait les journaux pour vous (attendu que la suppression
> des fichiers correspond à un ID spécifique).
>
> Thierry Frache
>
> "David" <nos...@free.fr> wrote in message
>
> news:46a8d46b$0$10026$426a74cc@news.free.fr...
>
> > Bonjour,
>
> > Je possède une unité de production composée de 3 serveurs sous Windows
> > 2003 Std.
> > J'ai de gros problèmes de déplacements ou suppressions volontaires de
> > dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
> > scrupuleux.
> > J'ai activé les audits, mais la lecture des journaux est très
> > compliquée étant donné le nombre d'utilisateurs et le nombre d'accès
> > journaliers.
> > Je ne sais pas du tout comment je pourrais optimiser la lecture et la
> > recherche d'évennements. L'idéal et je ne sais pas si ça existe, serait de
> > pouvoir extraire en base de données, les informations des différents
> > journaux d'évennements.
>
> > Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?
>
> > Existe t-il une application pouvant centraliser mes journaux?
>
> > Quelqu'un a t-il déjà été confronté à ce genre de problème, et comment
> > a t-il pu le résoudre?
>
> > Merci!
>
> > David.

MOM ou maintenant SCOM et System center essential sont des bons
produits, mais c'est peut etre une solution un peu chere ...
Il y a logparser 2.2 qui est gratuit et se telecharge à l'adresse
suivante

http://www.microsoft.com/downloads/d...displaylang=en

ici tu peux trouver qq exemples

http://www.microsoft.com/technet/com...in/pw0505.mspx
(...)
you can reuse this command to upload to a database any log supported
by the Log Parser input formats.Want to upload event log entries? Just
use the EVT input format, as follows:

C:\Logs>logparser "SELECT * INTO EventLogsTable FROM System" -i:EVT -
o:SQL -
database:LogsDatabase -iCheckpoint:MyCheckpoint.lpc

(...)

David avait prétendu :
> Bonjour,
>
>
>
> Je possède une unité de production composée de 3 serveurs sous Windows
> 2003 Std.
> J'ai de gros problèmes de déplacements ou suppressions volontaires de
> dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
> scrupuleux.
> J'ai activé les audits, mais la lecture des journaux est très compliquée
> étant donné le nombre d'utilisateurs et le nombre d'accès journaliers.
> Je ne sais pas du tout comment je pourrais optimiser la lecture et la
> recherche d'évennements. L'idéal et je ne sais pas si ça existe, serait de
> pouvoir extraire en base de données, les informations des différents journaux
> d'évennements.
>
> Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?
>
> Existe t-il une application pouvant centraliser mes journaux?
>
> Quelqu'un a t-il déjà été confronté à ce genre de problème, et comment a
> t-il pu le résoudre?
>
> Merci!
>
> David.

en plus de spistes citées
MOM qui est interessant mais pour 3 serveurs peut etre disproportionné
(il existe quand meme une version express pour moins de 10 serveurs)

Logparser qui est un outil a tester et a adopter (et pas que pour les
evts)

il y'a aussi psloglist de sysinternals
http://www.microsoft.com/technet/sys...psloglist.mspx

il permet de faire une requette sur plusieurs serveurs simultanéement
et est dédié aux journaux d'evenements
(Logparser que j'aime bcp est plus puissant mais cette puisssance
s'accompagne d'un apprentissage de la syntaxe - apprentissage qui me
semble rentable mais moins immédiat)

--
François Dunoyer [MVP Windows Server / Security]
Des liens sur la sécurisation des systèmes Windows
http://fds.mvps.org/ta/Liens.htm
Site perso : http://www.fdunoyer.net

Bonjour,

Merci beaucoup, à tous, pour vos réponses!!

David

THP a écrit :
> On 27 juil, 08:50, "Thierry Frache" <tfra...@NOSPAM.msftlab.info>
> wrote:
>> Bonjour,
>>
>> Microsoft Operation Manager est le logiciel qui peut répondre à cette
>> problématique.
>> Autrement, si vous connaissez le vbscript, vous pourriez développer un
>> script qui analyserait les journaux pour vous (attendu que la suppression
>> des fichiers correspond à un ID spécifique).
>>
>> Thierry Frache
>>
>> "David" <nos...@free.fr> wrote in message
>>
>> news:46a8d46b$0$10026$426a74cc@news.free.fr...
>>
>>> Bonjour,
>>> Je possède une unité de production composée de 3 serveurs sous Windows
>>> 2003 Std.
>>> J'ai de gros problèmes de déplacements ou suppressions volontaires de
>>> dossiers ou fichiers sur mon réseau, de la part d'utilisateurs peu
>>> scrupuleux.
>>> J'ai activé les audits, mais la lecture des journaux est très
>>> compliquée étant donné le nombre d'utilisateurs et le nombre d'accès
>>> journaliers.
>>> Je ne sais pas du tout comment je pourrais optimiser la lecture et la
>>> recherche d'évennements. L'idéal et je ne sais pas si ça existe, serait de
>>> pouvoir extraire en base de données, les informations des différents
>>> journaux d'évennements.
>>> Y a t-il une autre solution pour pouvoir auditer mes utilisateurs?
>>> Existe t-il une application pouvant centraliser mes journaux?
>>> Quelqu'un a t-il déjà été confronté à ce genre de problème, et comment
>>> a t-il pu le résoudre?
>>> Merci!
>>> David.
>
> MOM ou maintenant SCOM et System center essential sont des bons
> produits, mais c'est peut etre une solution un peu chere ...
> Il y a logparser 2.2 qui est gratuit et se telecharge à l'adresse
> suivante
>
> http://www.microsoft.com/downloads/d...displaylang=en
>
> ici tu peux trouver qq exemples
>
> http://www.microsoft.com/technet/com...in/pw0505.mspx
> (...)
> you can reuse this command to upload to a database any log supported
> by the Log Parser input formats.Want to upload event log entries? Just
> use the EVT input format, as follows:
>
> C:\Logs>logparser "SELECT * INTO EventLogsTable FROM System" -i:EVT -
> o:SQL -
> database:LogsDatabase -iCheckpoint:MyCheckpoint.lpc
>
> (...)
>