关于DataSecurity Plus产品中文件审计的两个报表-“N天后访问的文件”和“N天后修改的文件”

关于DataSecurity Plus产品中文件审计的两个报表-“N天后访问的文件”和“N天后修改的文件”

在DataSecurity Plus产品中,关于文件审计,有两个报表-“N天后访问的文件”和“N天后修改的文件”,如何理解?

如下图以“N天后访问的文件”举例:


(1 )选择要查看的域中或工作组中的某台服务器;
(2)对于这个文件->上次访问发生在什么时候;
(如该服务器中C:\Users\Default\AppData\Local\Microsoft\Windows\WinX\的文件(夹)Group3,上次(即最近一次)访问的时间是Thursday, November 05, 2020 05:10:21 PM,那Thursday, November 05, 2020 05:10:21 PM就是在”上周”这个时间段。)
(3)对于这个文件->上次访问时间和上上次访问时间中间的间隔的天数是多少天;
(如该服务器中C:\Users\Default\AppData\Local\Microsoft\Windows\WinX\的文件(夹)Group3,上次(即最近一次)访问的时间是Thursday, November 05, 2020 05:10:21 PM,上上次访问时间是Thursday, August 22, 2013 11:39:47 PM,那这两个时间段中间间隔的时间满足“大于或等于2190天”,2190天大概是6年的时间。)
(4)这个服务器中满足的文件的总数情况;
(如该服务器中满足上述条件的有124个文件或文件夹,拥有者是administrator;如果有其他满足条件的账号,也会在administrator旁边显示出来用户名和满足的文件总数。)
(点击图标,会出现如下弹窗,会有更多详细信息。)

(5)满足条件2和3的文件访问的概要;
(理解了关于时间的2和3的条件,这个就很容易理解。
(6)其他筛选条件;
(如想查看时:包括或排除某些用户名、动作、文件类型、文件名、路径等其他条件。

综上所述,对于企业中某些长时间甚至很多年不被人访问的过时的文件或者文件夹,某一天,突然被某个用户读取、复制等,那该报表就可以汇总这样的“异常”行为。同样地去理解“N天后修改的文件”。



    • Related Articles

    • 关于DataSecurity Plus中的DataEngine XNode服务

      关于DataSecurity Plus中的DataEngine XNode服务: 该服务主要是与文件分析和数据风险评估两个组件有关的服务;(与文件审核也有关系,文件审核性能优化) 文件分析和风险评估:每天扫描服务器,需要获取很多基于文件信息(甚至内容),而这些大量的信息对空间和资源占用要求非常高,所以不采取像文件审核的数据存储在数据库中的那种方式,而是存储在DataEngine中,而且相比数据库,DataEngine还能增强产品的可扩展性/伸缩性(就是搜索和检索数据会更快)。 ...

    • 关于DataSecurity Plus产品审计服务器的文件复制和粘贴的情况说明

      在DataSecurity Plus产品中有些用户反馈为什么文件审核功能审核不到服务器上的文件复制操作,反而粘贴操作可以审核到。 这取决于Windows系统中clipboard: 对于文件审核功能:审计到或审计不到某个(复制或粘贴)操作,取决于这个复制操作是记录在哪台设备的clipboard上产生的以及这台设备是不是在DataSecurity Plus中配置了; 请看以下几种情况: ...

    • 关于ADAudit Plus中的DataEngine XNode服务

      关于DataSecurity Plus中的DataEngine XNode服务: DataEngine是ADAuditPlus的一个新组件,用于更有效地存储和检索日志数据。 DataEngine将取代审计日志的数据库,这意味着更快地搜索和检索数据。它还增强了解决方案的可伸缩性。 如下截图所示,目前Powershell审计和文件审计的数据被存储在DataEngine中,其他数据存储在数据库。

    • DataSecurity Plus可以对域中的工作站进行审计吗?

      在DataSecurity Plus产品中,有专门针对域中的工作站的终端数据泄露预防方案的组件:Endpoint DLP。 如下图对工作站的USB活动审计的举例:

    • DataSecurity Plus数据库备份和修复

      Database backup: - 先停掉DataSecurity Plus产品的服务; - 打开cmd命令窗口(以管理员运行),导航到产品的bin目录下(安装路径下\ManageEngine\DataSecurity Plus\bin): 运行startDB.bat,然后运行完成后,再执行backupDB.bat; - 一个名称为“Backup”的文件夹会自动创建在”安装路径下\ManageEngine\DataSecurity Plus“文件夹中。 Database restore: - ...