如何记录文件服务器上的文件 *** 作日志

监控WIN2003文件服务器上的文件夹和文件的复制、删除。比如是哪个域用户复制了或是哪个域用户删除了文件和文件夹。目的：文件服务器里的公共文件夹缺少访问行为监控，误删或故意删除可能会造成数据丢失。文件夹丢失的原因无法查清，可能是误删除，也可能是故意删
一文件服务器是公司的域中的一台机,很多情况下,会有多个用户对某一个文件夹进行读写,难免会有 *** 作错误或误删的情况为了保留 *** 作的真实性如果设定记录用户的 *** 作情况,特别是文件及文件夹的删除日志监控WIN2003文件服务器上的文件夹和文件的复制、删除。 比如是哪个域用户复制了或是哪个域用户删除了文件和文件夹。
目的：文件服务器里的公共文件夹缺少访问行为监控，误删或故意删除可能会造成数据丢失。文件夹丢失的原因无法查清，可能是误删除，也可能是故意删除。需要进行两个 *** 作。
一个是在安全策略里面启用“审核对象访问”，开启这个功能
方法是右键选择你需要查看 *** 作日志的文件的属性，选择“安全”--> “高级”-->"审核"-->然后添加一个需要审核的用户，例如everyone --> 再选择具体的审核项目，例如是审核用户是否运行过这个文件，是否重命名这个文件等等，如果希望审核所有 *** 作，就选择完全控制。
最后，再到安全性日志中就可以查看到具体的 *** 作记录。

#每日三件事，第990天#

      《中华人民共和国网络安全法》第二十一条第一款第三项规定网络运营者应采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。在GB/T22239《网络安全等级保护基本要求》的安全计算环境中，对安全审计也有明确的要求。

      在落实法律义务和责任，开展网络安全等级保护工作的过程中，日志服务器成了必不可少的一项。商用的日志审计系统固然好，但利用CentOS7也可以做一个简单的日志服务器，收集网络中其他设备的日志信息。

日志服务器端的配置：

yum install syslog，其实CentOS7默认就已经安装了rsyslog服务。系统会自动检测，并不会重新安装一遍syslog服务。

vim /etc/rsyslogconf，找到#Providers TCP syslog reception这一行，把下面两行前面的#去掉即可：

#Providers TCP syslog reception

$ModLoad imtcp

$InputTCCPServerRun 514

======分割线 ======

在/etc/rsyslogd/创建一个名为client_ipconf的文件，每个日志发送客户端创建一个文件。我的实验环境中有一个ip为19216811的客户端，因此创建一个19216811conf的文件。

vim /etc/rsyslogd/19216811conf

:fromhost-ip,isequal, "19216811" /var/log/client/19216811log

systemctl restart rsyslog

重启之后一定要检查一下，使用命令：systemctl status rsyslog，并且保证rsyslog服务能够在开机时自动启动。

客户端的配置如下：

vim  /etc/rsyslogconf，去掉#Providers TCP syslog reception下面两行的注释：

#Providers TCP syslog reception

$ModLoad imtcp

$InputTCCPServerRun 514

在最后一行添加：

@@192168110:514

其中192168110是日志服务器的IP地址。

systemctl restart rsyslog，并查看rsyslog的状态，保证服务在开机时自动启动。

此时在日志服务器上就可以接收到客户端发来的日志信息了。

---