Per configurare il trace dei log su win 2003 server:
start > administrative tools > domain security policy
local policies
sulla dx trovi le voci audit
cambia a success, failure invece di no auditing
poi da AD:
tasto dx sul dominio > propietà
group policy
aggiungi (io consiglio-preferisco aggiungerne una nuova) o modifichi la group policy objects esistente( default domain policy)
apri la gpo vai in windows settings > security settings > local policies > audit policy
metti a success, failure tutte le voci (audit .......)
tranne le ultime due (process e system)
poi in base alla normativa devi far scadere le password e impedire azioni del tipo cambiare 2 volte la password di seguito per rimettere quella di prima(vedi account policies > password policy
a questo punto ti verranno tracciati tutti gli eventi in security nell'event viewer, quelli + interessanti sono i 540 e i 560 (logon/off e accesso ai file)
ma avrai il problema della dimensione massima del file evt degli eventi che si riempirà in un momento
per aumentarne la dimensione o usi regedit o + semplicemente dal visualizzatore degli eventi:
tasto dx su security:
aumenti la dimensione predefinita da 16MB a 4GB che è il massimo
metti la optionbox su non sovrascrivere eventi
ogni tanto fail il backup del file con tast dx > clear all events
rispondi di si al salvataggio del file (io lo faccio ogni giorno appena arrivo, dipende da quanti eventi avrai, che dipendono da quanti utenti lavorano e da quanti file modificano)
dato che occupa 4GB ti consiglio di comprimerli man mano con ad esempio 7zip
ciao
