Наблюдайте изменения файла в Windows System
Можно искать журнал событий на удаленных машинах с PowerShell, с помощью System.Diagnostics.EventLog. Принятие события, которое Вы ищете, находится в Системном журнале...
# get a list of all server names, maybe from AD, we'll assume it's in a variable called $serverlist
$eventIdToFind = "1234" # or whatever ID you're looking for
$logToSearch = "System"
foreach ($aServer in $serverlist) {
$theLog = New-Object System.Diagnostics.EventLog($logToSearch, $aServer)
$matchingEventList = $theLog.Entries | where { $_.EventId -eq $eventToFind }
if ($null -ne $machingEventList -and $matchingEventList.Count -gt 0) {
"Event Found on $aServer" # or do something else with it here
}
}
Вы просите монитор целостности файлов (FIM), и я предложил бы OSSEC. Это работает исходно в Windows и позволяет централизованную конфигурацию (при необходимости в этом).
Ссылка: http://www.ossec.net
-
1OSSEC является потрясающим для этого. Могла бы потребоваться определенная порча для получения точных данных, которые Вы хотите, но можно определенно экспортировать последнее ценность X дней изменений в CSV и затем проанализировать ее однако, Вам нравится (PowerShell работает удивительно хорошо на это). – jgoldschrafe 9 November 2010 в 15:38
Три опции приходят на ум:
- Натяжная проволока http://sourceforge.net/projects/tripwire/
- Sysinternals FileMon http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
- Рекурсивный хеш каталога MD5 сверяется со швейцарским Ножом Файла http://sourceforge.net/projects/swissfileknife
Я использую Вне всякого сравнения 2.
- Щелкните правой кнопкой по каталогу, выберите "Select Left Side to Compare".
- Щелкните правой кнопкой по другому каталогу, выберите "Compare to".
- Это перечисляет все файлы в двух вертикальных областях, показывая тем, которые пропускать/изменять/и т.д.
- Можно затем выполнить развертку в каждую пару файлов для наблюдения изменений на уровне файла.
Это имеет вполне хорошую функцию: если какие-либо файлы отличаются между парой каталогов, она изменяет цвет значков. Это позволяет Вам немедленно находить любые файлы, которые отличаются в дереве каталогов.
Я рекомендовал бы UltraCompare или SyncBackSE.
UltraCompare позволяет Вам сравнивать каталоги, полные файлов, затем выполнять развертку для сравнения отдельных файлов.
SyncBackSE, если довольно простой в использовании. Это сравнивает два каталога, дает список файлов, которые изменились, и предлагает опцию синхронизировать каталоги. Его предварительно сконфигурированный из поля, но если Вы хотите сделать что-либо уникальное, оно имеет целый набор настраиваемых опций. Я использую SyncBackSE для резервного копирования моих файлов к Amazon S3 (и Gladinet для монтирования Amazon S3 к букве диска).