Файлы¶
Файловая активность — отслеживает основные операции с файлами (чтение, запись, удаление и др.).
Примечание
Неправильная настройка данного модуля может привести к снижению производительности на рабочих станциях пользователей. Если нет задачи контроля за файловой активностью, отключите этот модуль, чтобы снизить нагрузку.
FTP — отслеживание подключений по FTP-протоколу: перехват логинов, паролей, скачиваемых и загружаемых файлов.
Теневое копирование — перехват теневых копий файлов. Поддерживает перехват файлов, отправленных:
по электронной почте (почтовые агенты и веб-почта);
на съемные запоминающие устройства (USB-накопители);
через интернет-мессенджеры (QIP, ICQ, Skype, Mail.ru Агент и др.);
на принтер;
через браузер на google drive.
Примечание
Для Linux-систем теневое копирование файлов на USB-накопителях возможно только по адресам, указанным в Правила: Файловый мониторинг — Пути и маски.
Перехват файлов с внешних носителей — перехват списка файлов подключенных USB-накопителей. При включенном «Правила: Перехват файлов с внешних носителей» дополнительно производится теневое копирование файлов.
Перехват файлов с мобильных устройств (WPD) — перехват списка файлов с подключенных мобильных устройств. При включенном «Правила: Перехват файлов с внешних носителей» дополнительно производится теневое копирование файлов.
Выполнять теневые копии для файлов не более — максимальный размер файла для теневого копирования. Это ограничение защищает от перегрузки контролируемые ПК, каналы передачи данных и сервер в случае массовой передачи объемных файлов.
Кэширование SMB — ускорение обработки файлов. Полезно, если в вашей сети используется много файловых серверов.
Нормализовывать имена файлов — расширяет все короткие имена файлов. Может замедлять доступ к файловым серверам.
Правила: Файловый мониторинг — Пути и маски¶
Запретить — отключает отслеживание файловых операций по указанным путям.
Разрешить — отслеживает файловые операции только по указанным путям. Вся остальная файловая активность не отслеживается.
При указании путей мониторинга поддерживаются спецсимволы:
звёздочка «*» — любое количество символов до или после указанной строки;
вопросительный знак «?» — указание одного любого символа строки.
Файловый мониторинг на Linux-агентах¶
Чтобы включить файловый мониторинг на Linux-агенте, включите переключатель Файловая активность и добавьте пути для слежения в раздел Правила: Файловый мониторинг — Пути и маски.
Примечание
Если оставить пустыми строки Разрешить и Запретить, то файловая активность не будет отслеживаться.
Примеры указания путей:
Путь |
Описание |
Комментарий |
/ |
Все директории на машине. |
Абсолютное большинство операций с файлами - |
~/ |
Домашние директории пользователей. |
Сокращает количество отображаемых событий |
~user/ |
Домашняя директория пользователя user. |
|
/media/ |
Операции с CD- и USB-устройствами. |
Указывайте путь, используемый в вашей системе. |
/mnt/ |
Операции с примонтированными |
Указывайте путь, используемый в вашей системе. |
~/.* |
Операции в системных папках |
Здесь основная часть операций - системные и |
Правила: Файловый мониторинг — Пути и маски — Чтение¶
Запретить — отключает отслеживание операций чтения по указанным путям.
Разрешить — отслеживает операции чтения только по указанным в фильтре путям. Вся остальная файловая активность по любым путям не отслеживается.
Примечание
Это правило влияет на работу модуля «Файловая активность»: если в строке Запретить в конце пути или маски установлена «*», то по этому пути не будут отслеживаться операции чтения файлов и в Линзе не будут отображаться никакие файловые операции, поскольку первая операция при работе с файлами всегда Чтение.
Правила: Файловый мониторинг - Приложения¶
Запретить — список исполняемых файлов, чьи операции с файлами не отслеживаются.
Разрешить — список исполняемых файлов, для которых нужно отслеживать файловые операции.
Правила: Файловый мониторинг — Приложения — Чтение¶
Запретить — запрещает отслеживать файловые операции чтения указанными исполняемыми файлами.
Разрешить — разрешает отслеживать файловые операции чтения только указанными исполняемыми файлами.
Правила: Файлы — Особый контроль¶
Разрешить — указанные файлы копируются при любом действии над ними. При любых операциях с файлами создаётся их теневая копия.
Для Linux-систем теневое копирование файлов работает только внутри путей, указанных в Правила: Файловый мониторинг — Пути и маски и при включенном «Теневом копировании». Теневые копии записываются в конструктор отчётов в соответствующую операцию в типе событий — «Файл — Операция».
Примечание
При активном использовании, например, имени папки, может сформироваться очень много теневых копий файлов.
Правила: Перехват файлов с внешних носителей¶
Разрешить — маски для перехвата файлов с внешних накопителей.
Поддерживаемый формат записей:
*.docx — перехват файлов с указанным расширением;
name.* — перехват файлов с заданным именем;
*.* — перехват всех файлов с носителя.
Предупреждение
Правило *.* может вызвать большую нагрузку на сервер.