Onglet Principal
L'onglet 'Principal' liste les différents filtres utilisés pour générer le rapport.
La première étape consiste à saisir un nom pour ce rapport qui apparaîtra dans le Hub 'Rapports planifiés'.
L'option 'Données brutes' permet lorsqu'elle est activée de générer le rapport dans un fichier au format CSV au lieu d'un fichier au format PDF.
Vous pouvez ensuite définir différents filtres, groupés dans différentes catégories :
Les filtres Quoi
- Statut d’accès : spécifie si les événements d'accès listés dans le rapport seront des accès acceptés et/ou refusés.
- Type d’objet : spécifie si le rapport affiche des évènements d’accès sur les fichiers, les dossiers, ou les deux.
-
Type d’accès : spécifie les types d’évènements ciblés par le rapport :
- Suppression : Un utilisateur a essayé de supprimer un fichier/répertoire.
- Appropriation : Un utilisateur a essayé de s'approprier un fichier/répertoire.
- Autorisations : Un utilisateur a essayé de changer les permissions d'un fichier/répertoire.
- Écriture : Un utilisateur a essayé de modifier un fichier.
- Exécution : Un utilisateur a essayé d'exécuter un fichier.
- Lecture : Un utilisateur a essayé d'ouvrir un fichier en mode 'Lecture'.
- Système : Tentative de lecture ou d'écriture de la Liste de Contrôle d'Accès Système (SACL), c'est-à-dire les entrées d'audit d'un fichier/répertoire. (Pre-Vista uniqument)
- Écriture des attributs : Un utilisateur a essayé de modifier un attribut de fichier (comme les cases à cocher Lecture seule ou Caché).
- Autre : Evènement composite, combinaison de plusieurs évènements d'accès différents. Exemple: Lecture et écriture ou Lecture et suppression, etc. (Uniquement sur Windows Server 2003)
Prenez note que ces événements sont générés pour des tentatives d'accès. Si un utilisateur sans les privilèges requis tente de supprimer un fichier d'un répertoire surveillé par FileAudit, un événement de type 'Suppression' est généré avec un statut 'Refusé'.
Les filtres Quand
Sélection
Différentes options de temps prédéfinies sont disponibles pour générer du contenu dynamique en fonction de la date d'exécution du rapport planifié.
Mode personnalisé
-
La sélection de l'option 'Personnaliser' permet une plus grande granularité dans la définition de la période temps à couvrir. Une fois sélectionné, deux nouvelles listes déroulantes 'De' et 'A' apparaissent et présentent également plusieurs choix dont de nouvelles options de temps relatives.
-
En sélectionnant 'Evénement du' pour dans les deux listes 'De' et 'A', il vous sera possible de définir la période de temps.
-
Les champs 'Date' et 'Heure' sont alors ajustables. Choisissez la date et l'heure souhaitées.
-
De la même manière, définissez la date de fin de la période concernée par ce rapport.
Les filtres Qui
- Domaine : filtre les évènements d’accès pour un domaine Active Directory spécifique.
- Groupe : filtre les évènements d’accès des membres d’un groupe de l’Active Directory.
- Utilisateur : filtre les évènements d’accès générés par un utilisateur spécifique de l’Active Directory.
Une syntaxe avancée vous permet d'exclure ou d'ajouter plusieurs utilisateurs dans les champs Groupe et Utilisateur. Voir ci-dessous pour plus de détails.
Note:
- Les groupes sans utilisateurs ne sont pas autorisés (les groupes de machines par exemple).
- Les groupes appartenant à des sous-domaines ou au domaine parent ne sont pas supportés.
- Si le service vient d'être (re-)démarré, merci d'attendre le temps nécessaire à la reconstruction de la liste des groupes (de l'ordre de quelques secondes en général).
Les filtres Source
- Adresse IP : spécifie l’adresse IP de la machine à partir de laquelle l’accès a été réalisé (si l’accès est effectué à travers le réseau).
- Nom de machine : spécifie le nom de la machine à partir de laquelle l’accès a été réalisé (si l’accès est effectué à travers le réseau).
- Processus : spécifie le nom du processus ayant généré l’accès (si l’accès est effectué localement).
REMARQUE: Le type de filtres présents peut varier en fonction du type de rapport utilisé.
(Les rapports d'accès, des permissions ou de synthèses utilisent tous différentes variantes du filtre répertorié ci-dessus).
Ajouter ou exclure des utilisateurs
Vous pouvez exclure ou ajouter des utilisateurs dans les champs Utilisateur et Groupe. Pour ajouter plus d'un utilisateur ou groupe, saisissez les noms séparés par des virgules. Pour exclure un utilisateur ou un groupe, faites précéder le nom du groupe ou de l'utilisateur du signe moins.
Ajout
Affichage des évènements d'accès des membres des groupes Comptabilité et Marketing uniquement.
Exclusion
Affichage de tous les évènements d'accès, sauf ceux des membres du groupe Marketing.
Ajout + exclusion
Affichage des évènements d'accès des membres du groupe Marketing, sauf ceux des membres du groupe Managers.
S'il n'y a pas de membres communs entre les groupes Marketing et Managers, cela affichera les évènements d'accès de tous les membres du groupe Marketing. Si tous les membres du groupe Marketing font partie du groupe Managers, aucun résultat ne sera affiché.