Cas d’utilisation de l’Audit Déplacement
Prérequis pour que le type d’accès apparaisse comme déplacement :
- Disponible si vous utilisez Vista / Windows Server 2008 et versions ultérieures
- Les chemins source et destinataire doivent être audités.
- Le déplacement doit être au sein du même serveur.
- Le fichier ou dossier ne doit pas être vide si le déplacement se fait entre deux disques distincts d'un même serveur.
Cas d'un déplacement d'un fichier :
Lorsque le fichier est vide et le déplacement se fait d’un disque à un autre dans le même serveur, FileAudit affichera un évènement de suppression à la source.
Cas d'un déplacement d'un Dossier :
Si le déplacement se fait dans le même disque du serveur un seul évènement de déplacement sera présent pour le dossier concerné.
Si le déplacement se fait dans deux disques distincts d'un serveur, il y aura un évènement de déplacement par sous dossier ou fichier déplacé sauf si un des dossiers ou fichiers est vide.
Limites identifiées :
Il peut exister des faux négatifs. Trois cas sont identifiés :
- Lors d’un déplacement d’un serveur à l’autre, FileAudit affichera un évènement de suppression et de lecture pour le serveur source et un évènement d'écriture pour le serveur destinataire.
- Lorsque le fichier ou dossier est vide et le déplacement se fait d’un disque à un autre dans le même serveur, FileAudit affichera un évènement de suppression.
- Lorsque le laps de temps est trop important pendant l'exécution du déplacement d'un fichier ou dossier très lourd, FileAudit affichera un évènement de suppression et de lecture pour le serveur source et un évènement d'écriture pour le serveur destinataire.