Файлы¶
Файловая активность — отслеживает основные операции с файлами (чтение, запись, удаление и др.).
Примечание
Неправильная настройка данного модуля может привести к снижению производительности на рабочих станциях пользователей. Если нет задачи контроля за файловой активностью, отключите этот модуль, чтобы снизить нагрузку.
FTP — отслеживание подключений по FTP-протоколу: перехват логинов, паролей, скачиваемых и загружаемых файлов.
Теневое копирование — перехват теневых копий файлов. Поддерживает перехват файлов, отправленных:
по электронной почте через почтовые агенты и веб-почту;
на USB-накопители;
через интернет-мессенджеры: QIP, ICQ, Skype, Агент Mail.ru и др.;
на принтер;
через браузер на Google Drive.
Примечание
Для Linux-систем теневое копирование файлов на USB-накопителях возможно только по адресам, указанным в Правила: Файловый мониторинг — Пути и маски.
Перехват файлов с внешних носителей — перехват списка файлов подключенных USB-накопителей. При включенном Правила: Перехват файлов с внешних носителей дополнительно производится теневое копирование файлов.
Перехват файлов с мобильных устройств (WPD) — перехват списка файлов с подключенных мобильных устройств. При включенном Правила: Перехват файлов с внешних носителей дополнительно производится теневое копирование файлов.
Теневое копирование при передаче через RDP — создание теневых копий при копировании файлов через общий буфер обмена при подключении к удаленному рабочему столу через RDP-протокол.
Примечание
Включите опцию Буфер обмена в параметрах RDP-подключения для работы общего буфера обмена. Он позволяет копировать файлы между локальным и удаленным компьютером.
Предупреждение
Для работы модуля включите Буфер обмена в разделе Клавиатура и буфер обмена. Без него агент не будет контролировать общий буфер обмена и создавать теневые копии файлов при копировании.
Поведение при различных сценариях:
Сценарий |
Результат |
|
Агент создаёт теневую копию файла. |
|
Агент создаёт теневую копию файла. |
|
Агент не создаёт теневую копию файла. |
|
Агент создаёт теневую копию файла. |
Теневая копия создаётся как при копировании файла с компьютера на удалённый рабочий стол, так и в обратном направлении — с удалённого рабочего стола на компьютер под наблюдением агента.
Примечание
Для создания теневой копии размер файла не должен превышать значение в поле Max размер файла для теневого копирования.
Max размер файла для теневого копирования — максимальный размер файла для теневого копирования. Это ограничение защищает от перегрузки контролируемые ПК, каналы передачи данных и сервер в случае массовой передачи объемных файлов.
Кэширование SMB — ускорение обработки файлов. Полезно, если в вашей сети используется много файловых серверов.
Нормализовывать имена файлов — расширяет все короткие имена файлов. Может замедлять доступ к файловым серверам.
Правила: Файловый мониторинг — Пути и маски¶
Запретить — отключает отслеживание файловых операций по указанным путям.
Разрешить — отслеживает файловые операции только по указанным путям. Вся остальная файловая активность не отслеживается.
При указании путей мониторинга поддерживаются спецсимволы:
звёздочка «*» — любое количество символов до или после указанной строки;
вопросительный знак «?» — указание одного любого символа строки.
Файловый мониторинг на Linux-агентах¶
Чтобы включить файловый мониторинг на Linux-агенте, включите переключатель Файловая активность и добавьте пути для слежения в раздел Правила: Файловый мониторинг — Пути и маски.
Примечание
Если оставить пустыми строки Разрешить и Запретить, то файловая активность не будет отслеживаться.
Примеры указания путей:
Путь |
Описание |
Комментарий |
/ |
Все директории на машине. |
Абсолютное большинство операций с файлами - |
~/ |
Домашние директории пользователей. |
Сокращает количество отображаемых событий |
~user/ |
Домашняя директория пользователя user. |
|
/media/ |
Операции с CD- и USB-устройствами. |
Указывайте путь, используемый в вашей системе. |
/mnt/ |
Операции с примонтированными |
Указывайте путь, используемый в вашей системе. |
~/.* |
Операции в системных папках |
Здесь основная часть операций - системные и |
Правила: Файловый мониторинг — Пути и маски — Чтение¶
Запретить — отключает отслеживание операций чтения по указанным путям.
Разрешить — отслеживает операции чтения только по указанным в фильтре путям. Вся остальная файловая активность по любым путям не отслеживается.
Примечание
Это правило влияет на работу модуля «Файловая активность»: если в строке Запретить в конце пути или маски установлена «*», то по этому пути не будут отслеживаться операции чтения файлов и в Линзе не будут отображаться никакие файловые операции, поскольку первая операция при работе с файлами всегда Чтение.
Правила: Файловый мониторинг — Приложения¶
Запретить — список исполняемых файлов, чьи операции с файлами не отслеживаются.
Разрешить — список исполняемых файлов, для которых нужно отслеживать файловые операции.
Правила: Файловый мониторинг — Приложения — Чтение¶
Запретить — запрещает отслеживать файловые операции чтения указанными исполняемыми файлами.
Разрешить — разрешает отслеживать файловые операции чтения только указанными исполняемыми файлами.
Правила: Файлы — Особый контроль¶
Разрешить — создает теневую копию для выбранных файлов при всех файловых операциях, кроме удаления.
Для Linux-систем теневое копирование файлов работает только внутри путей, указанных в Правила: Файловый мониторинг — Пути и маски и при включенном Теневом копировании. Теневые копии записываются в конструктор отчётов в соответствующую операцию в типе событий — Файл — Операция.
Примечание
При активном использовании, например, имени папки, может сформироваться очень много теневых копий файлов.
Правила: Перехват файлов с внешних носителей¶
Разрешить — маски для перехвата файлов с внешних накопителей.
Поддерживаемый формат записей:
*.docx — перехват файлов с указанным расширением;
name.* — перехват файлов с заданным именем;
*.* — перехват всех файлов с носителя.
Предупреждение
Правило *.* может вызвать большую нагрузку на сервер.