Введение
Если у вас еще нет своего сервера для мониторинга, то рекомендую материалы на эту тему. Для тех, кто предпочитает систему CentOS:
- Установка CentOS 8.
- Настройка CentOS 8.
- Установка и настройка zabbix сервера.
То же самое на Debian 10, если предпочитаете его:
- Установка Debian 10.
- Базовая настройка Debian.
- Установка и настройка zabbix на debian.
Бэкапы в виде сырых данных в директории (1-й способ)
У меня много где настроена самодельная система бэкапа, похожая на то, что описано в статье по настройке бэкапа с помощью rsync. Не буду подробно останавливаться на том, почему бэкаплю именно так. Во многих случаях это удобно, так как всегда имеешь под рукой свежую версию данных в исходном виде. В случае повреждения источника, просто меняешь точку монтирования и получаешь практически сразу все данные, без простоя рабочего процесса.
На всякий случай хочется следить за тем, что бэкапы у тебя актуальны и в случае чего ты можешь на них рассчитывать. Делать мы это будет по очень простой схеме. На сервере источнике будет раз в сутки создаваться файл. Во время бэкапа этот файл будет улетать на сервер с резервными данными. Этот сервер подключен к системе мониторинга zabbix с помощью агента. Этот агент будет периодически проверять дату последнего изменения файла. Если эта дата больше заданного интервала, то мы будем получать оповещение о том, что бэкапы не выполняются.
Для настройки описанной схемы нам понадобится выполнить несколько шагов:
- На серверах источниках настроить скрипт, который будет создавать файл и поместить его в планировщик.
- На сервере заббикс настроить на хосте с бэкапами item и trigger для слежения и оповещения о дате файла.
Бэкапы в виде запакованных архивов (2-й способ)
Если у вас бэкапится, к примеру, какая-то база в дамп или есть просто отдельный файл, то имеет смысл его архивировать и хранить в виде одиночного архива. Для таких бэкапов тоже нужен мониторинг. Чтобы следить за актуальностью бэкапа, я предлагаю мониторить 2 параметра:
- Размер файла. Если он равен нулю, то срабатывает триггер.
- Дата создания бэкапа. Если он старше какого-то срока, в моем примере будут 24 часа, то шлем оповещение.
Мониторинг бэкапов будет настроен из расчета, что у вас все бэкапы лежат в одной директории на сервере. В этой директории резервные копии хранятся для каждого объекта в отдельной папке. Будет настроено автообнаружение папок в директории с бэкапами.
Как отредактировать метки времени файла
С помощью команды touch можно изменить три метки времени файла или папки:
- время доступа
- время модификации
- время изменения статуса
Если вы хотите изменить все эти значения на текущее время, то достаточно запустить команду вида:
touch ФАЙЛ
Можно отдельно поменять только время доступа или только время модификации, соответствующие опции:
-a изменить только время доступа
-m изменить только время модификации
С помощью опции -t можно установить любое время, на которое мы хотим поменять метки файла. Формат указания времени следующий:
YY]MMDDhhmm
В этой строке то, что в фигурных скобках, является необязательным. Значения букв следующее:
- CC – Первые две цифры года (от слова century — века)
- YY – Вторые две цифры года
- MM – Месяц года (01-12)
- DD – День месяца (01-31)
- hh – Часы дня (00-23)
- mm – Минуты часа (00-59)
- ss – Секунды (00-59)
Если не указать века или год вообще, то будет использоваться текущий год. Если не указать секунды, то значением по умолчанию является 00.
Пример:
touch -t '198306080301.23' file.txt
С помощью опции -t невозможно указать доли секунды и в выводе команды stat на их месте всегда будет 000000000
С помощью опции -d можно использовать разные более человечные способы указать время, например, «две недели назад». Это должно работать на английском, не знаю как с национальными языками. Опция -d (судя по описанию) понимает много разных вариантов синтаксиса, но для меня самым интересным свойством является возможность установить доли секунды, чтобы метки времени выглядели естественно, поскольку временные метки с девятью нулями на конце наводят мысль о том, что они спуфлены. Пример установки времени с указанием долей секунды:
touch -d '1983-08-06 04:15:34.123456789' files.txt
То есть формат строки такой (из неё можно пропустить дефисы и двоеточия — опция -d всё равно её поймёт, но я их добавил для наглядности):
YYYY-MM-DD HH:MM:SS.mmmmmmmmm
BulkFileChanger
Пожалуй, самый простой и удобный способ изменения даты создания файла – это использование программы BulkFileChanger от Nirsoft.
Программа BulkFileChanger полностью бесплатна и доступна для скачивания на официальном сайте разработчика. Она не требует установки и поставляется сразу в виде готового к работе Exe.
Для того чтобы изменить дату создания файла, нужно запустить программу BulkFileChanger на своем компьютере и перетащить в нее файлы.
После этого нужно выделить файлы в BulkFileChanger и нажать на кнопку с иконкой часов, которая находится на панели инструментов программы.
В результате откроется окно для управления датами и атрибутами файла. В самом верху данного окна будет доступен блок управления временем. Здесь можно изменить дату создания (Created), изменения (Modified), а также доступа к файлу (Accessed). Для изменения этих данных необходимо установить соответствующие флажки, указать нужные значения и нажать на кнопку «Do it».
Например, для того чтобы изменить дату создания файла нужно установить два флажка в строке «Created», напротив даты и времени создания. После чего нужно установить необходимое значение и применить изменения нажатием на кнопку «Do it».
После этого можно вернуться в проводник Windows и нажать на клавишу F5 для обновления данных о файлах. Если все было сделано правильно, то дата создания фала должна измениться.
Также отметим, что у Nirsoft есть консольная программа NirCmd (ссылка), которую также можно использовать для изменения даты создания файла. Для этого нужно просто запустить программу «nircmd.exe» с параметром «setfiletime» и указать новое время создания и изменения файла.
nircmd.exe setfiletime «c:\temp\myfile.txt» «24-06-2003 17:57:11» «22-11-2005 10:21:56»
В примере выше для файла «myfile.txt» устанавливается время создания – «24-06-2003 17:57:11» и время изменения – «22-11-2005 10:21:56».
Kickidler
Программное обеспечение, в котором функция кейлоггера связана с записью видео. Историю посещений пользователя и набор определенных клавиш администратор может просмотреть в отчете. Собранную информацию независимо от формы (текст, видео о все нарушения трудового распорядка) можно посмотреть на временной шкале. Такой способ позволяет выяснить чем работник занимался в определенный момент времени.
Основной функцией утилиты является предотвращение утечки информации и контроль использования конфиденциальных данных. Программное обеспечение работает на персональных компьютерах с различными ОС: Windows, Linux и MAC OS. Для компаний, в которых трудятся до 6 человек работает бесплатная версия.
Поиск файлов по времени изменения
Для этого мы опять будем использовать команду find. Для поиска по времени у неё есть следующие опции:
-amin n
Последний раз к файлу был совершён доступ n минут назад.
-atime n
К файлу был совершён доступ n*24 часов назад. Когда find определяет, как много 24-часовых периодов назад к файлу был совершён доступ, любая дробная часть игнорируется, поэтому для соответствия -atime +1 к файлу должен быть сделан доступ по крайней мере два дня назад.
-cmin n
Статус файла был изменён последний раз n минут назад.
-ctime n
Последний раз статус файла был изменён n*24 часов назад. Смотрите комментарий для -atime для понимания, как округление влияет на интерпретацию времени изменения статуса файла.
-mmin n
Данные файла последний раз были изменены n минут назад.
-mtime n
Данные файла были изменены последний раз n*24 часов назад. Смотрите комментарий для -atime для понимания, как округление влияет на интерпретацию времени модификации файла.
То есть если в опции слово min — то число n трактуется как минуты, а если в опции присутствует слово time, то n трактуется как сутки.
В качестве числа n можно указать точное значение, а также выражения «больше чем n» и «меньше чем n» следующими способами:
+n для более чем n, -n для менее чем n, n для точного n.
С find можно строить весьма сложные конструкции условий чтобы найти именно то, что вам нужно. Далее всего несколько примеров — но количество возможностей безгранично. С опцией -name можно указывать шаблон имени, можно комбинировать с поиском по любым другим свойствам файла: размер, права доступа и т.д.
Чтобы найти все файлы, содержимое которых было изменено ровно 50 дней назад:
find / -mtime 50
Чтобы найти все файлы, к которым был получен доступ ровно 50 дней назад:
find / -atime 50
Чтобы найти все файлы, содержимое которырх было модифицировано более 50 дней назад и менее 100 дней назад:
find / -mtime +50 -mtime -100
Чтобы найти файлы, статус которых был изменён за последний час:
find / -cmin -60
Чтобы найти файлы, которые содержимое которых было модифицировано за последний час:
find / -mmin -60
Чтобы найти все файлы, доступ к которым был сделан за последний час:
find / -amin -60
Чтобы найти все файлы в текущей папке с расширением .php, которые были изменены или созданы за последние 10 дней:
find . -name ‘*.php’ -mtime -10
Чтобы найти все исполнимые файлы в текущей папке, которые были изменены или созданы за последние 10 дней:
find . -type f -perm /a=x -mtime -10
Как использовать NetShareMonitor
Запустите NetShareMonitor.exe и давайте посмотрим, как выглядит NetShareMonitor .
Как видите, это приложение имеет приятное и простое в использовании окно
Первое, что привлекает ваше внимание — это три вкладки: « Активный сеанс», «Доступные файлы» и « Общие файлы»
На вкладке « Активный сеанс » отображается оперативная информация обо всех удаленных устройствах, подключенных к вашему компьютеру, таких как: « Удаленный хост», «Пользователь», «Открытые файлы», «Время запуска», «Активное время» и «Время простоя» .
Вторая вкладка называется « Доступные файлы» и показывает все файлы, к которым обращается удаленный пользователь. На этой вкладке отображаются общие папки с именем удаленного пользователя, путем к файлу, датой и типом доступа к файлу.
И последнее, но не менее важное: есть вкладка « Общие файлы », в которой отображаются все общие файлы в вашей системе и информация о них, например: « Имя общего ресурса» , «Описание», «Подключения» и « Путь к общим файлам»
В правой части окна находится кнопка « Настройки» . Он открывает окно, из которого вы можете изменить Общие, Настройки сеанса и Журнала , в соответствии с вашими предпочтениями.
Кнопка View Log расположена в нижнем правом углу окна и отображает журнал сеансов и журнал доступа к файлам.
Это приложение привлекает ваше внимание, когда кто-то обнюхивает ваши общие папки, и показывает вам почти каждую деталь пользователя, подключенного к вашему устройству, и того, что пользователь получает в данный момент, но это все, что он делает: он отслеживает. Вы не можете ничего сделать с удаленным пользователем, который обращается к вашим файлам из интерфейса инструмента
Чтобы защитить ваши общие файлы от неизвестных пользователей, вы должны прекратить делиться ими. Для этого в проводнике откройте вкладку « Поделиться » и нажмите кнопку « Остановить общий доступ» .
Если вы хотите узнать больше об обмене файлами, ознакомьтесь с нашей статьей «Как использовать проводник для обмена файлами и папками в Windows 8.1 и 10».
Как отследить изменения файла и папки?
В рамках данной статьи я познакомлю вас с двумя программами. С программой FolderChangesView и с утилитой Disk Pulse. Обе программы являются бесплатным. Программа FolderChangeView полностью бесплатна. Disk Plus имеет бесплатную и платную версию (различий немного)
FolderChangesView: Отслеживание изменения папок и файлов
FolderChangesView — маленькая бесплатная утилита для отслеживания всех изменений происходящих с файлами в определенной папке и разделе жесткого диска.
Утилита в реальном времени сканирует заранее заданную папку или группу папок и отображает подробную информацию о всех изменениях. Весь результат представляется в удобной таблице.
Для начала необходимо скачать программу. Скачать FolderChangesView бесплатно с сайта разработчика вы можете по этой ссылке. Там же можно скачать русификатор, который необходимо разархивировать и бросить в папку с программой.
Настройка FolderChangesView
Программа не требует установки. После запуска программы появится окно настроек.
Отслеживание изменения файлов программой FolderChangesView
В окне настроек необходимо указать папку, несколько папок или раздел жесткого диска, который вам необходимо мониторить. В данном случае я выбрал папку — spysoftnet и отметил галочкой Сканировать также подкаталоги
В второй строке окна настроек вы можете установить папки, которые вы не хотите чтоб программа отслеживала. К примеру, я не хочу чтоб приложение следило за изменениями в папке — tmp. После того как вы установили папку, не забудьте отметить галочкой Exclude the folowing folders.
Также, вы можете установить минимальный и максимальный размер файла. После того как все настройки выбраны нажимаем на OK
Disk Pulse: Программа мониторинга файлов и папок
DiskPulse — еще одна программа мониторинга файлов, папок и жестких дисков, которая может показывать изменения в файловой системе Windows в режиме реального времени.
DiskPulse: Как отследить изменения файла и папки
В программе есть очень интересная, на мой взгляд, возможность отправки уведомлений по электронной почте или выполнения пользовательских команд (действий), в случае обнаружения всевозможных опасных критических изменений в системе .
Если вы оставите все настройки, которые установлены по умолчанию как есть, то будете получать информацию обо всех изменениях всей системы. Но если немного поковыряться в опциях, то сможете уменьшить количество данных. На картинке внизу вы видите как с легкостью с помощью нескольких кликов можно это сделать.
DiskPulse: Выбор папки или жесткого диска
В последней версии добавлена диаграмма, отображающая количество файлов, их типы и другую полезную информацию.
DiskPulse: Программа мониторинга файлов и папок
с сайта разработчика вы можете по этой ссылке.
Подведем итоги. Обе программы отлично работаю и справляются с основной функцией мониторинга файлов и папок и достойны внимания. Программа «FolderChangesView» программа мне понравилась больше. Хотя вторая программа более функциональна. Программы бесплатны и не содержат вирусов, поэтому попробуйте обе и решите сами какую использовать.
Виды вредоносных программ
Видео: Обзор Disk Pulse
https://youtube.com/watch?v=wEyA2YdKyzA
Zabbix
Данная система мониторинга является универсальным решением и позволяет управлять различными узлами. Утилита является эффективным инструментом для борьбы с утечкой конфиденциальной информации, касающейся деятельности коммерческих компаний. Программа является довольно сложной, поэтому для выполнения поставленных задач требуется привлечение опытного администратора.
Чтобы исключить случаи утечки информации о деятельности компании, руководители принимают решение в пользу простого ПО, доступного человеку без специальных познаний в сфере IT технологий. Таким образом возможен регулярный контроль за работой персонала.
Как определить дату последнего обращения к файлу или папке в Windows
Дата последнего обращения к файлу или папке — очень важный параметр, особенно когда начинаешь удалять ненужные файлы с диска. Иной раз видишь файл с довольно важным на первый взгляд названием и думаешь, нужен он или нет. Если в этот момент знать, что файл уже 3 года лежит и его никто не трогает, то вопрос решился бы быстрее.
Рис.1. Запуск консоли от имени администратора
Windows не хранит по умолчанию дату последнего доступа к файлу, поскольку это сильно скажется на производительности. Потому для включения этого параметра потребуются не только права администратора, но и некоторые навыки работы с консолью, чтоб снизить риск случайного нажимания пальцами куда не надо.
Для включения сохранения информации о дате последнего доступа к файлу потребуется включить соответствующий параметр. Чтобы определить, включен параметр сохранения и отслеживания информации о дате последнего доступа к файлу или нет, нужно в консоли, запущенной от имени администратора (Рис.1), ввести команду:
fsutil behavior query disablelastaccess
Если значение выключено, то результат будет такой:
DisableLastAccess = 1
Чтобы включить сохранение информации о дате последнего доступа к файлу, нужно в консоли ввести команду:
fsutil behavior set disablelastaccess 0
Рис.2. Включение поддержки сохранения информации о дате последнего доступа к файлу
Соответственно, для отключения параметра нужно изменить значение с 0 на 1:
fsutil behavior set disablelastaccess 1
После присвоения параметру disablelastaccess значения 1 можно посмотреть дату последнего обращения к файлу в Windows через обычный проводник. По умолчанию проводник ее не показывает, ограничиваясь такими полями как Имя, Дата изменения, Тип и Размер (Рис.3.). Но заставить отображаться еще один столбец – не проблема.
Рис.3. Отображаемые столбцы в проводнике по умолчанию
Чтобы показывать дату последнего обращения к файлу в проводнике Windows, нужно нажать правой кнопкой мыши на строку с названиями отображаемых полей, в контекстном выпадающем меню нажать на кнопку «Подробнее» (Рис.4).
Рис.4. Добавление нового поля в Проводнике Windows, шаг 1
В открывшемся окне будет показан список полей, которые можно добавить для отображения в проводнике. После манипуляций с консолью появится новое поле «Дата доступа» (Рис.5).
Рис.5. Добавление нового поля в Проводнике Windows, шаг 2.Новое поле Дата доступа
Теперь в проводнике при выбранном режиме отображения «Таблица» (как переключиться показано на Рис.7) будет отображаться поле Дата доступа, в котором показана дата последнего обращения к файлу (Рис.6).
Рис.6. Отображение табличного представления с полем Дата доступа
Рис.7. Переключиться к виду Таблица в проводнике
Если после добавления отображения поля «Дата доступа» в консоли отключить параметр отслеживания даты последнего изменения (fsutil behavior set disablelastaccess 1), то из представления столбец автоматически не пропадет, только будет показывать неверную информацию.
- 14 июля 2016, Alexey
- Windows и программы
- Тэги: windows, windows 10, Windows 8, консоль
Изменение данных с использованием функции конвертации
Если в дате съемки должно быть указано сегодняшнее число, для изменения сведений можно применить любой мощный графический редактор. Например, Adobe Photoshop.
- запускаем Photoshop и открываем нужное изображение;
- нажимаем вверху «Файл», затем «Сохранить как»;
- выбираем любой другой формат (к примеру, BMP) и сохраняем;
- сохраненное фото открываем через Photoshop в только что указанном новом формате (BMP);
- возвращаем снимку предыдущий формат JPG.
Главный недостаток этого метода состоит в том, что фотография из-за изменения форматов превращается в обычную картинку, которую можно скачать с любого сайта. Исчезают все сведения о снимке – разрешение, модель аппарата и прочее. Разбирающемуся в этом вопросе человеку нетрудно будет догадаться, что изображение редактировалось в Photoshop.
Как установить NetShareMonitor
Вы можете скачать приложение с официального сайта или скачать здесь. После загрузки вы найдете архив, который, как ни странно, содержит еще один архив с установочными файлами и текстовый файл с паролем для второго архива.
Используйте этот пароль и извлеките содержимое обоих архивов. В нашем случае пароль был securityxploded2007 .
Мы рекомендуем вам использовать только Portable Version . Это потому, что «NetShareMonitor_Installer.exe» будет запускать много антивирусных предупреждений и предупреждений о вредоносных программах. Кажется, что установка, предоставленная разработчиком этого программного обеспечения, пытается загрузить и установить хитрое программное обеспечение, которое вам не нужно, и это может повредить ваш компьютер. Например, Защитник Windows сказал, что установщик пытается установить троян Win32 / Skeeyah.C! Plock вместе с самим программным обеспечением.
Мы настоятельно рекомендуем вам удалить другие файлы и папки и оставить только переносную версию . Эта версия не загружает на ваш компьютер ничего подозрительного и делает только то, что вы хотите.
