Файлы

../../_images/configurations_11.png

Файловая активность — отслеживает основные операции с файлами (чтение, запись, удаление и др.).

Примечание

Неправильная настройка данного модуля может привести к снижению производительности на рабочих станциях пользователей. Если нет задачи контроля за файловой активностью, отключите этот модуль, чтобы снизить нагрузку.

FTP — отслеживание подключений по FTP-протоколу: перехват логинов, паролей, скачиваемых и загружаемых файлов.

Теневое копирование — перехват теневых копий файлов. Поддерживает перехват файлов, отправленных:

  • по электронной почте (почтовые агенты и веб-почта);

  • на съемные запоминающие устройства (USB-накопители);

  • через интернет-мессенджеры (QIP, ICQ, Skype, Mail.ru Агент и др.);

  • на принтер;

  • через браузер на google drive.

Примечание

Для Linux-систем теневое копирование файлов на USB-накопителях возможно только по адресам, указанным в Правила: Файловый мониторинг — Пути и маски.

Перехват файлов с внешних носителей — перехват списка файлов подключенных USB-накопителей. При включенном «Правила: Перехват файлов с внешних носителей» дополнительно производится теневое копирование файлов.

Перехват файлов с мобильных устройств (WPD) — перехват списка файлов с подключенных мобильных устройств. При включенном «Правила: Перехват файлов с внешних носителей» дополнительно производится теневое копирование файлов.

Выполнять теневые копии для файлов не более — максимальный размер файла для теневого копирования. Это ограничение защищает от перегрузки контролируемые ПК, каналы передачи данных и сервер в случае массовой передачи объемных файлов.

Кэширование SMB — ускорение обработки файлов. Полезно, если в вашей сети используется много файловых серверов.

Нормализовывать имена файлов — расширяет все короткие имена файлов. Может замедлять доступ к файловым серверам.

Правила: Файловый мониторинг — Пути и маски

Запретить — отключает отслеживание файловых операций по указанным путям.

Разрешить — отслеживает файловые операции только по указанным путям. Вся остальная файловая активность не отслеживается.

При указании путей мониторинга поддерживаются спецсимволы:

  • звёздочка «*» — любое количество символов до или после указанной строки;

  • вопросительный знак «?» — указание одного любого символа строки.

Файловый мониторинг на Linux-агентах

Чтобы включить файловый мониторинг на Linux-агенте, включите переключатель Файловая активность и добавьте пути для слежения в раздел Правила: Файловый мониторинг — Пути и маски.

Примечание

Если оставить пустыми строки Разрешить и Запретить, то файловая активность не будет отслеживаться.

Примеры указания путей:

Путь

Описание

Комментарий

/

Все директории на машине.

Абсолютное большинство операций с файлами -
системные операции, которые не относятся к
пользовательской активности.
Указание «/» в строке Разрешить может
сильно нагрузить систему

~/

Домашние директории пользователей.

Сокращает количество отображаемых событий
с файлами. Достаточный уровень контроля.

~user/

Домашняя директория пользователя user.

/media/

Операции с CD- и USB-устройствами.

Указывайте путь, используемый в вашей системе.

/mnt/

Операции с примонтированными
USB-устройствами.

Указывайте путь, используемый в вашей системе.

~/.*

Операции в системных папках
(/home/user/.cahce/ и др.)

Здесь основная часть операций - системные и
не относятся к активности пользователя.

Правила: Файловый мониторинг — Пути и маски — Чтение

Запретить — отключает отслеживание операций чтения по указанным путям.

Разрешить — отслеживает операции чтения только по указанным в фильтре путям. Вся остальная файловая активность по любым путям не отслеживается.

Примечание

Это правило влияет на работу модуля «Файловая активность»: если в строке Запретить в конце пути или маски установлена «*», то по этому пути не будут отслеживаться операции чтения файлов и в Линзе не будут отображаться никакие файловые операции, поскольку первая операция при работе с файлами всегда Чтение.

Правила: Файловый мониторинг - Приложения

Запретить — список исполняемых файлов, чьи операции с файлами не отслеживаются.

Разрешить — список исполняемых файлов, для которых нужно отслеживать файловые операции.

Правила: Файловый мониторинг — Приложения — Чтение

Запретить — запрещает отслеживать файловые операции чтения указанными исполняемыми файлами.

Разрешить — разрешает отслеживать файловые операции чтения только указанными исполняемыми файлами.

Правила: Файлы — Особый контроль

Разрешить — указанные файлы копируются при любом действии над ними. При любых операциях с файлами создаётся их теневая копия.

Для Linux-систем теневое копирование файлов работает только внутри путей, указанных в Правила: Файловый мониторинг — Пути и маски и при включенном «Теневом копировании». Теневые копии записываются в конструктор отчётов в соответствующую операцию в типе событий — «Файл — Операция».

Примечание

При активном использовании, например, имени папки, может сформироваться очень много теневых копий файлов.

Правила: Перехват файлов с внешних носителей

Разрешить — маски для перехвата файлов с внешних накопителей.

Поддерживаемый формат записей:

  • *.docx — перехват файлов с указанным расширением;

  • name.* — перехват файлов с заданным именем;

  • *.* — перехват всех файлов с носителя.

Предупреждение

Правило *.* может вызвать большую нагрузку на сервер.