Файлы

../../_images/configurations_11.png

Файловая активность — отслеживает основные операции с файлами (чтение, запись, удаление и др.).

Примечание

Неправильная настройка данного модуля может привести к снижению производительности на рабочих станциях пользователей. Если нет задачи контроля за файловой активностью, отключите этот модуль, чтобы снизить нагрузку.

FTP — отслеживание подключений по FTP-протоколу: перехват логинов, паролей, скачиваемых и загружаемых файлов.

Теневое копирование — перехват теневых копий файлов. Поддерживает перехват файлов, отправленных:

  • по электронной почте через почтовые агенты и веб-почту;

  • на USB-накопители;

  • через интернет-мессенджеры: QIP, ICQ, Skype, Агент Mail.ru и др.;

  • на принтер;

  • через браузер на Google Drive.

Примечание

Для Linux-систем теневое копирование файлов на USB-накопителях возможно только по адресам, указанным в Правила: Файловый мониторинг — Пути и маски.

Перехват файлов с внешних носителей — перехват списка файлов подключенных USB-накопителей. При включенном Правила: Перехват файлов с внешних носителей дополнительно производится теневое копирование файлов.

Перехват файлов с мобильных устройств (WPD) — перехват списка файлов с подключенных мобильных устройств. При включенном Правила: Перехват файлов с внешних носителей дополнительно производится теневое копирование файлов.

Теневое копирование при передаче через RDP — создание теневых копий при копировании файлов через общий буфер обмена при подключении к удаленному рабочему столу через RDP-протокол.

Примечание

Включите опцию Буфер обмена в параметрах RDP-подключения для работы общего буфера обмена. Он позволяет копировать файлы между локальным и удаленным компьютером.

Предупреждение

Для работы модуля включите Буфер обмена в разделе Клавиатура и буфер обмена. Без него агент не будет контролировать общий буфер обмена и создавать теневые копии файлов при копировании.

Поведение при различных сценариях:

Сценарий

Результат

  1. ПК без агента подключился через RDP к ПК с агентом.

  2. Пользователь скопировал файл на любом из ПК.

Агент создаёт теневую копию файла.

  1. ПК с агентом подключился через RDP к ПК без агента.

  2. Пользователь скопировал файл на ПК с агентом.

Агент создаёт теневую копию файла.

  1. ПК с агентом подключился через RDP к ПК без агента.

  2. Пользователь скопировал файл на ПК без агента.

Агент не создаёт теневую копию файла.

  1. ПК с агентом подключился через RDP к другому ПК с агентом.

  2. Пользователь скопировал файл на любом из ПК.

Агент создаёт теневую копию файла.

Теневая копия создаётся как при копировании файла с компьютера на удалённый рабочий стол, так и в обратном направлении — с удалённого рабочего стола на компьютер под наблюдением агента.

Примечание

Для создания теневой копии размер файла не должен превышать значение в поле Max размер файла для теневого копирования.

Max размер файла для теневого копирования — максимальный размер файла для теневого копирования. Это ограничение защищает от перегрузки контролируемые ПК, каналы передачи данных и сервер в случае массовой передачи объемных файлов.

Кэширование SMB — ускорение обработки файлов. Полезно, если в вашей сети используется много файловых серверов.

Нормализовывать имена файлов — расширяет все короткие имена файлов. Может замедлять доступ к файловым серверам.

Правила: Файловый мониторинг — Пути и маски

Запретить — отключает отслеживание файловых операций по указанным путям.

Разрешить — отслеживает файловые операции только по указанным путям. Вся остальная файловая активность не отслеживается.

При указании путей мониторинга поддерживаются спецсимволы:

  • звёздочка «*» — любое количество символов до или после указанной строки;

  • вопросительный знак «?» — указание одного любого символа строки.

Файловый мониторинг на Linux-агентах

Чтобы включить файловый мониторинг на Linux-агенте, включите переключатель Файловая активность и добавьте пути для слежения в раздел Правила: Файловый мониторинг — Пути и маски.

Примечание

Если оставить пустыми строки Разрешить и Запретить, то файловая активность не будет отслеживаться.

Примеры указания путей:

Путь

Описание

Комментарий

/

Все директории на машине.

Абсолютное большинство операций с файлами -
системные операции, которые не относятся к
пользовательской активности.
Указание «/» в строке Разрешить может
сильно нагрузить систему

~/

Домашние директории пользователей.

Сокращает количество отображаемых событий
с файлами. Достаточный уровень контроля.

~user/

Домашняя директория пользователя user.

/media/

Операции с CD- и USB-устройствами.

Указывайте путь, используемый в вашей системе.

/mnt/

Операции с примонтированными
USB-устройствами.

Указывайте путь, используемый в вашей системе.

~/.*

Операции в системных папках
(/home/user/.cahce/ и др.)

Здесь основная часть операций - системные и
не относятся к активности пользователя.

Правила: Файловый мониторинг — Пути и маски — Чтение

Запретить — отключает отслеживание операций чтения по указанным путям.

Разрешить — отслеживает операции чтения только по указанным в фильтре путям. Вся остальная файловая активность по любым путям не отслеживается.

Примечание

Это правило влияет на работу модуля «Файловая активность»: если в строке Запретить в конце пути или маски установлена «*», то по этому пути не будут отслеживаться операции чтения файлов и в Линзе не будут отображаться никакие файловые операции, поскольку первая операция при работе с файлами всегда Чтение.

Правила: Файловый мониторинг - Приложения

Запретить — список исполняемых файлов, чьи операции с файлами не отслеживаются.

Разрешить — список исполняемых файлов, для которых нужно отслеживать файловые операции.

Правила: Файловый мониторинг — Приложения — Чтение

Запретить — запрещает отслеживать файловые операции чтения указанными исполняемыми файлами.

Разрешить — разрешает отслеживать файловые операции чтения только указанными исполняемыми файлами.

Правила: Файлы — Особый контроль

Разрешить — указанные файлы копируются при любом действии над ними. При любых операциях с файлами создаётся их теневая копия.

Для Linux-систем теневое копирование файлов работает только внутри путей, указанных в Правила: Файловый мониторинг — Пути и маски и при включенном «Теневом копировании». Теневые копии записываются в конструктор отчётов в соответствующую операцию в типе событий — «Файл — Операция».

Примечание

При активном использовании, например, имени папки, может сформироваться очень много теневых копий файлов.

Правила: Перехват файлов с внешних носителей

Разрешить — маски для перехвата файлов с внешних накопителей.

Поддерживаемый формат записей:

  • *.docx — перехват файлов с указанным расширением;

  • name.* — перехват файлов с заданным именем;

  • *.* — перехват всех файлов с носителя.

Предупреждение

Правило *.* может вызвать большую нагрузку на сервер.