Options du scanner
Certains événements peuvent être exclus de l'audit FileAudit :
Comment ajouter une exclusion.
Vous pouvez exclure les événements d'accès générés pour un compte utilisateur spécifique, un exécutable ou un masque de fichier. Cliquez sur le bouton d'ajout du type d'item désiré (par exemple 'Ajouter un masque) et saisissez dans le panneau latéral droit l'objet à exclure :
Remarque: Les caractères joker ne sont disponibles que pour l'exclusion de masques de fichier :
* : correspond à n'importe quelle chaîne de caractères.
? : correspond à n'importe quel caractère.
Ignorer la lecture des exécutables
La plupart des fichiers exécutables chargent leur image icône lorsqu'ils sont listés dans l'Explorateur Windows, générant ainsi un événement de lecture.
Par défaut FileAudit ignore ces événements de lecture générés par les exécutables pour éviter une surcharge d'événements qui ne se révèlent pas pertinents. Ceci n'affecte pas bien sûr les événements du type 'Exécution'.
Si toutefois il vous est nécessaire de prendre ces événements en considération et donc de détecter/afficher ces événements de type 'lecture', vous pouvez désactiver cette option en basculant l'interrupteur.
Auditer les changements sur les attributs de fichier
FileAudit peut auditer les modifications sur les attributs de fichier (Lecture seule, fichier caché, etc...). Par défaut cette capacité est désactivée.
Il vous suffit de basculer l'interrupteur pou l'activer.
Remarque: Tous les chemins déjà déclarés auprès de FileAudit (listés dans la vue 'Configuration de l'audit') ne possèdent pas la configuration d'audit NTFS nécessaire pour la surveillance des changements d'écriture sur les attributs de fichier. Une fois cette option activée, il sera nécessaire de relancer la configuration sur les chemins déjà enregistrés. Vous pouvez faire cette opération simplement en suivant la procédure décrite dans 'Vérifier la configuration de l'audit'. Les prochains chemins qui seront déclarés après avoir activer cette option intégreront le paramétrage requis sans action supplémentaire.
Exclure les événements sans chemins vérifiés
Des audits indésirables peuvent être générés lorsqu'une configuration manuelle d'audit NTFS est en place ou parce qu'un autre outil a quitté sa configuration d'audit. En activant cette fonction, seuls les chemins configurés dans FileAudit seront audités.