|
Siehe File Monitoring vs. File Access Tracking für einen Vergleich zwischen Datei-Änderungsüberwachung und Dateizugriffsverfolgung. |
Die Dateiänderungsüberwachung überwacht ein oder mehrere Verzeichnisse und erzeugt Warnmeldungen, wenn Änderungen an bestimmten Dateien in einem Verzeichnis auftreten:
•eine Datei wurde zu einem Verzeichnis hinzugefügt
•eine Datei wurde aus einem Verzeichnis entfernt
•eine Datei vergrößert
•eine Datei verringerte sich in der Größe
•eine Datei hat ihre Prüfsumme geändert (SHA256)
Darüber hinaus kann EventSentry alle Änderungen an der Datenbank protokollieren und ermöglicht die Anzeige des aktuellen Status und der Historie der in den überwachten Verzeichnissen vorgenommenen Änderungen. Die folgenden Dateieigenschaften sind in den Webberichten verfügbar:
•Version
•Hash (SHA256)
•Größe
•Entropie
•Digitale Signatur (falls verfügbar)
•Stream-Informationen
Überwachungsintervall / Typ
Ordner in Echtzeit überwachen
Standardmäßig werden die aufgeführten Verzeichnisse in Echtzeit überwacht. Das bedeutet, dass das Betriebssystem EventSentry benachrichtigt, wenn Änderungen in den betroffenen Verzeichnissen auftreten. Dies ist die effizienteste Überwachungsoption, könnte aber unnötigen Overhead hinzufügen, wenn das überwachte Verzeichnis eine große Anzahl von Dateien enthält, die sich häufig ändern.
Bei der Überwachung von Verzeichnissen in Echtzeit wird empfohlen, die Option "Prüfsumme nur bei der letzten Änderung der Schreibzeit überprüfen" zu aktivieren.
Die Einstellung einer wiederkehrenden Überwachungsoption zusätzlich zur Überwachung von Verzeichnissen in Echtzeit wird auch dann empfohlen, wenn das Betriebssystem aufgrund von Fehlern oder Überlastung keine Echtzeit-Benachrichtigungen an EventSentry sendet.
Überwachung alle X Sekunden
Anstatt Ordner in Echtzeit zu überwachen, können Dateien auch mit einem wiederkehrenden Zeitplan überwacht werden, zum Beispiel alle 10 Minuten. Dies ist nützlich für Verzeichnisse, die eine große Anzahl von Dateien enthalten, die sich sehr häufig ändern, oder für Verzeichnisse, bei denen keine Benachrichtigungen in Echtzeit erforderlich sind.
|
Die Dateiüberwachungsfunktion kann potenziell eine erhebliche Menge an CPU-Zeit verbrauchen, insbesondere bei Verwendung der Prüfsummenfunktion und bei der Überwachung von Ordnern mit vielen Dateien.
Wenn Ordner mit Tausenden von Dateien überwacht werden müssen und die CPU-Zeit des EventSentry-Agenten höher als erwartet ist, sollten Sie die folgenden Einstellungen sorgfältig prüfen und anpassen:
• "Alle x Minute(n) überwachen" sollte von der Vorgabe von einer Stunde erhöht werden. • "Prüfsummen für Dateien ignorieren, die größer sind als" muss möglicherweise verringert werden, um die Anzahl der Erstellungen einer Prüfsumme zu reduzieren. • "Erkennen von Datei-Prüfsummenänderungen" sollte deaktiviert werden, wenn es nicht benötigt wird |
Erweiterte Einstellungen & Optimierungen
Es wird empfohlen, die Optimierungsoptionen in diesem Abschnitt einzustellen, um die Last zu verringern, die der EventSentry-Agent bei der Überwachung von Datei-Prüfsummen auf dem/den überwachten System(en) hat.
Ignore checksums for files larger than
Wenn die überwachten Verzeichnisse große Dateien enthalten (z.B. Dateien, die größer als 50Mb sind), kann die Berechnung der Prüfsumme viele Minuten dauern und die meiste verfügbare CPU-Zeit auf einem Server verbrauchen. Indem Sie eine maximale Dateigröße für die Prüfsummenfunktion festlegen, können Sie verhindern, dass der Dienst die Prüfsumme großer Dateien berechnet.
Only verify incremental checksum (log files)
Berechnet und vergleicht die Prüfsumme nur bis zur vorher bekannten Größe, wenn eine überwachte Datei an Größe zunimmt. Dies ist nützlich für Dateien, die Transaktionen speichern, bei denen bestehende Daten nicht geändert werden, aber neue Daten hinzugefügt werden.
Disable folder redirection on 64-bit systems (Wow64)
Wenn der EventSentry-Agent auf einem 64-Bit-Rechner ausgeführt wird und Ordner überwacht werden, für die das Betriebssystem die Dateiumleitung für 32-Bit-Prozesse aktiviert hat (z.B. %SYSTEMROOT%\SYSTEM32), dann leitet das Betriebssystem diese automatisch zu ihrem "Windows on Windows"-Gegenstück um. Zum Beispiel würde C:\Windows\System32 zu C:\Windows\SysWOW64 umgeleitet werden. Wenn Sie diese Option aktivieren, wird die Ordnerumleitung auf 64-Bit-Systemen deaktiviert.
Only verify checksum when last write time changed
Standardmäßig berechnet EventSentry die Prüfsumme jeder eingebundenen Datei in einem überwachten Verzeichnis, wenn eine Dateiänderung vom Betriebssystem gemeldet wird. Dies kann wiederum eine große Menge an CPU-Zeit verbrauchen, wenn das überwachte Verzeichnis eine große Anzahl von Dateien enthält. Wenn diese Option aktiviert ist, berechnet und vergleicht der Agent die Prüfsumme einer Datei nur dann, wenn sich die letzte Schreibzeit geändert hat.
Only verify checksum when file size has changed
Standardmäßig berechnet EventSentry die Prüfsumme jeder eingebundenen Datei in einem überwachten Verzeichnis, wenn eine Dateiänderung vom Betriebssystem gemeldet wird. Dies kann wiederum eine große Menge an CPU-Zeit verbrauchen, wenn das überwachte Verzeichnis eine große Anzahl von Dateien enthält. Wenn diese Option aktiviert ist, berechnet und vergleicht der Agent die Prüfsumme einer Datei nur dann, wenn sich die Dateigröße geändert hat.
|
Bekannte Einschränkungen
• Es wird nicht empfohlen, auch Verzeichnisse anzugeben, die Unterverzeichnisse von bereits konfigurierten Verzeichnissen sind, wenn die Option "Unterverzeichnisse einbeziehen" gewählt ist. Es wird zum Beispiel nicht empfohlen, sowohl C:\Dokumente als auch C:\Dokumente\Finanzen zu überwachen.
• Die Überwachung von UNC-Pfaden (z.B. \\SERVER1\Payroll) wird nicht unterstützt. |
Datenbank
Geben Sie die Datenbank an, die verwendet werden soll, wenn ein Verzeichnis zur Aufzeichnung von Änderungen in der zentralen Datenbank konfiguriert wird.
