Журнал подключений является одним из важнейших и информативных средств для мониторинга и диагностики.
Благодаря журналу подключений можно увидеть:
- Сетевую активность пользователей NAS
- IP-адреса пользователей
- Операции, произведенные с файлами
- Сетевые атаки на устройство
По умолчанию журнал подключений выключен. Рекомендуется включить его сразу после инициализации накопителя и настройки основной безопасности. Откройте меню Панель управления – Система – Системные журналы.
Откроется системный журнал. Перейдите в закладку Журнал подключений, нажмите кнопку Параметры.
Установите галочки возле тех протоколов, по которым нужно вести журнал. Если у вас есть сомнения, то лучше отметить все протоколы.
Также вы можете здесь включить архивирование старых журналов и указать папку для их хранения.
Нажмите Вести журнал, чтобы запустить логирование.
Рассмотрим каким образом журнал подключений будет отображать действия с файлами.
По умолчанию события в журнале располагаются снизу вверх. То есть более новое событие находится выше, более старого.
Дата и Время события указаны в первых двух столбцах. Пользователь совершивший действие в третьем. Далее IP-адрес и имя ПК. Тип подключения – протокол по которому было совершено действие. Ресурс – файл или папка с которой были произведены действия. В последнем столбце описано само действие.
В нашем примере мы подключились к NAS через Windows Проводник (по протоколу SMB – Login Ok). При подключении были автоматически прочитаны названия папок чтобы отобразить их в Проводнике Windows.
Затем мы создали файл Новый текстовый документ.txt. (Add) –> Переименовали его в renamed_doc.txt (Rename) - > Переместили его в другую папку (Move) -> открыли изменили и сохранили (Write) – А в конце удалили его (Delete).
Так будет выглядеть информация об атаке с подбором паролей:
Как бороться с такими атаками, рассказано в статье - Безопасность: организация базовых этапов защиты сетевого хранилища
----------------------------
Эта статья проверена на следующей конфигурации:
QNAP QTS FW 4.3.6 0805 (intel)
KB-6003