centos5f4vn
09-14-2007, 02:14 PM
ShareAlarm - Công cụ giám sát thư mục chia sẻ
1. Overview
ShareAlarm là một công cụ mạng cho phép các administrator và user dễ dàng thực hiện việc share các folder và việc giám sát tài nguyên của hệ thống. ShareAlarm được sử dụng để giám sát các user cố gắng thử truy cập đến các share folder được bảo vệ và các file riêng tư, detect và log các truy cập mạng đến các share folder, giám sát các sự kiện bảo mật (event security), giám sát truy cập các file, giám sát việc thay đổi permission của dữ liệu share. ShareAlarm bao gồm hệ thống dò tìm xâm nhập dựa trên việc phân tích log các sự kiện bảo mật của Windows NT/2000/XP servers hoặc các workstation và cho người sử dụng biết trên việc lựa chọn các sự kiện.
Các đặc trưng của ShareAlarm:
Intrusion Detection System based on security Events analyzer
Shared resources Monitor
Firewall Controls
Security Event Log Monitor
Network resources monitor
Files and folders content change log.
Accessed files log.
Share permissions monitoring.
Tham khảo về ShareAlarm theo link sau: http://sharealarm.nsauditor.com/
Download theo link sau (dùng miễn phí 30 ngày, mua giá 19.50$): http://sharealarm.nsauditor.com/downloads/sharealarmpro_setup.exe (kích thước 1.8MB)
2. Hướng dẫn cài đặt
Sau khi download file cài đặt, thực hiện cài đặt. Việc cài đặt rất dễ dàng, có thể tham khảo theo các file ảnh sau:
File 1: http://www.electronicfiles.net/files/2133/centos4/share_alarm_01.png
File 2: http://www.electronicfiles.net/files/2133/centos4/share_alarm_02.png
File 3: http://www.electronicfiles.net/files/2133/centos4/share_alarm_03.png
File 4: http://www.electronicfiles.net/files/2133/centos4/share_alarm_04.png
File 5: http://www.electronicfiles.net/files/2133/centos4/share_alarm_05.png
File 6: http://www.electronicfiles.net/files/2133/centos4/share_alarm_06.png
3. Hướng dẫn sử dụng
3.1. Tab Sessions
Đưa ra chi tiết về các active connection đến các tài nguyên được chia sẻ. Với mỗi active connection, sẽ có các thông tin: Workstation (tên hoặc IP của máy remote), user name (dùng để log vào hệ thống), Files Opened (file mà kết nối đó đang sử dụng), Remote OS (hệ điều hành của máy remote), Date/Time (thời gian connect),…
Ví dụ: Sử dụng một máy tính trong mạng, chạy Linux, dùng smb để truy cập đến thư mục chia sẻ trên máy cài ShareAlarm. Khi đó ShareAlarm, tab Sessions sẽ đưa ra thông tin về kết nối nói trên. Xem Hình 1.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_01.png
Hình 1: tab Sessions
Trong ví dụ trên, tab Session sẽ đưa ra thông tin: máy 192.168.1.100, sử dụng user Administrator để kết nối. Hệ điều hành trên máy đó là Unix.
View log:
Chú ý rằng trong mục Session chỉ đưa ra danh sách các kết nối active. Để xem chi tiết các kết nối, chuột phải vào màn hình, trên menu chuột phải, chọn View log. Khi đó trình duyệt web sẽ mở file html có tên là file sessions_log_index.html trong thư mục cài đặt ShareAlarm.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_02.png
Hình 2: file sessions_log_index.html
File html nói trên sẽ lưu lại các thông tin về các kết nối đến máy của bạn.
Settings của mục Sessions
Session có 2 setting là Options và Actions. Click vào biểu tượng Settings trên thanh công cụ, trên hộp thoại Settings, click đúp vào mục Sessions.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_03.png
Hình 3: Sessions – Options
Trong Hình 3, nên đánh dấu vào cả 2 lựa chọn Show connections with 0 file accessed và Show Local Connections.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_04.png
Hình 4: Sessions – Actions
Trong Hình 4, có thể đánh dấu vào lựa chọn Sound để khi có kết nối, sẽ có thông báo bằng âm thanh.
Chú ý:
Trên Windows XP Proffesional cho phép 10 kết nối truy cập đến trong cùng một thời điểm. Có thể dùng tab Session để quản lý các kết nối đó. Có thể sử dụng menu chuột phải (Hình 1) với các chức năng: Close connection – để đóng kết nối được lựa chọn; Block host – để block máy remote có IP cột Workstation; Block user – để block user trong kết nối đang được lựa chọn.
Công cụ Computer Management của Windows (trong Administrative Tools) cũng có tính năng tương tự. Xem hình 5.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_05.png
Hình 5: Computer Management – mục Sessions
3.2. Tab Accessed Files
Tab Accessed Files đưa ra danh sách các file hiện thời đang được truy cập bởi các user.
Ví dụ: Copy một số file từ máy cài đặt ShareAlarm.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_06.png
Hình 6: Tab Accessed Files
View log:
Trên Hình 6, có thể chuột phải vào màn hình, trên menu chuột phải, chọn View log.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_07.png
Hình 7: files_log_index.html
Khi chọn View log, trình duyệt web sẽ mở file có tên là files_log_index.html trong thư mục cài đặt ShareAlarm. Nội dung của file này là chi tiết về thời gian của user nào sử dụng file nào.
3.3. Tab Events
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_08.png
Hình 8: Tab Events
Tab Events đưa ra danh sách các sự kiện liên quan đến bảo mật. Các sự kiện đó được liệt kê theo 3 cột: cột Category, cột Date/Time và cột Details.
Ví dụ:
Có thể mở một thư mục share trên máy cài ShareAlarm, nhập user name /password khi được yêu cầu. Nếu nhập đúng, nhập sai, sự kiện đó sẽ được ghi lại trên tab Events.
View log:
Trong Hình 8, trên menu chuột phải, khi chọn View log.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_09.png
Hình 9: events_log_index.html
Sau khi chọn View log, trình duyệt web sẽ mở file events_log_index.html. File này chứa các thông tin chi tiết về các sự kiện (hình 9).
Settings của Events:
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_10.png
Hình 10: Events Settings – Events List
Trong cửa sổ Settings, nhắp đúp vào Events, sau đó lựa chọn Events List (Hình 10). Danh sách chi tiết các Event sẽ được ShareAlarm theo dõi như Hình 11.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_11.png
Hình 11: Events List
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_12.png
Hình 12: Events Settings – Actions
Các Action của Events bao gồm:
Show Pop-up Window on Event Detection – Hiển thị một cửa sổ pop-up mỗi khi detect được sự kiện.
Send Message – Khi có sự kiện sẽ thông báo bằng Message.
Send e-Mail – khi có sự kiện sẽ gửi thông báo đến một địa chỉ email. Cửa sổ Pop-up có dạng như Hình 13.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_13.png
Hình 13: Cửa sổ Pop-up
Trên hình 13, cửa sổ pop-up sẽ có chi tiết như: Event ID (xem hình 12 để biết các event id), Category (xem Hình 8),…
Có thể đánh dấu vào ô Don’t show this window any more để cửa sổ pop-up này không xuất hiện khi có sự kiện.
(Còn tiếp ...)
1. Overview
ShareAlarm là một công cụ mạng cho phép các administrator và user dễ dàng thực hiện việc share các folder và việc giám sát tài nguyên của hệ thống. ShareAlarm được sử dụng để giám sát các user cố gắng thử truy cập đến các share folder được bảo vệ và các file riêng tư, detect và log các truy cập mạng đến các share folder, giám sát các sự kiện bảo mật (event security), giám sát truy cập các file, giám sát việc thay đổi permission của dữ liệu share. ShareAlarm bao gồm hệ thống dò tìm xâm nhập dựa trên việc phân tích log các sự kiện bảo mật của Windows NT/2000/XP servers hoặc các workstation và cho người sử dụng biết trên việc lựa chọn các sự kiện.
Các đặc trưng của ShareAlarm:
Intrusion Detection System based on security Events analyzer
Shared resources Monitor
Firewall Controls
Security Event Log Monitor
Network resources monitor
Files and folders content change log.
Accessed files log.
Share permissions monitoring.
Tham khảo về ShareAlarm theo link sau: http://sharealarm.nsauditor.com/
Download theo link sau (dùng miễn phí 30 ngày, mua giá 19.50$): http://sharealarm.nsauditor.com/downloads/sharealarmpro_setup.exe (kích thước 1.8MB)
2. Hướng dẫn cài đặt
Sau khi download file cài đặt, thực hiện cài đặt. Việc cài đặt rất dễ dàng, có thể tham khảo theo các file ảnh sau:
File 1: http://www.electronicfiles.net/files/2133/centos4/share_alarm_01.png
File 2: http://www.electronicfiles.net/files/2133/centos4/share_alarm_02.png
File 3: http://www.electronicfiles.net/files/2133/centos4/share_alarm_03.png
File 4: http://www.electronicfiles.net/files/2133/centos4/share_alarm_04.png
File 5: http://www.electronicfiles.net/files/2133/centos4/share_alarm_05.png
File 6: http://www.electronicfiles.net/files/2133/centos4/share_alarm_06.png
3. Hướng dẫn sử dụng
3.1. Tab Sessions
Đưa ra chi tiết về các active connection đến các tài nguyên được chia sẻ. Với mỗi active connection, sẽ có các thông tin: Workstation (tên hoặc IP của máy remote), user name (dùng để log vào hệ thống), Files Opened (file mà kết nối đó đang sử dụng), Remote OS (hệ điều hành của máy remote), Date/Time (thời gian connect),…
Ví dụ: Sử dụng một máy tính trong mạng, chạy Linux, dùng smb để truy cập đến thư mục chia sẻ trên máy cài ShareAlarm. Khi đó ShareAlarm, tab Sessions sẽ đưa ra thông tin về kết nối nói trên. Xem Hình 1.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_01.png
Hình 1: tab Sessions
Trong ví dụ trên, tab Session sẽ đưa ra thông tin: máy 192.168.1.100, sử dụng user Administrator để kết nối. Hệ điều hành trên máy đó là Unix.
View log:
Chú ý rằng trong mục Session chỉ đưa ra danh sách các kết nối active. Để xem chi tiết các kết nối, chuột phải vào màn hình, trên menu chuột phải, chọn View log. Khi đó trình duyệt web sẽ mở file html có tên là file sessions_log_index.html trong thư mục cài đặt ShareAlarm.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_02.png
Hình 2: file sessions_log_index.html
File html nói trên sẽ lưu lại các thông tin về các kết nối đến máy của bạn.
Settings của mục Sessions
Session có 2 setting là Options và Actions. Click vào biểu tượng Settings trên thanh công cụ, trên hộp thoại Settings, click đúp vào mục Sessions.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_03.png
Hình 3: Sessions – Options
Trong Hình 3, nên đánh dấu vào cả 2 lựa chọn Show connections with 0 file accessed và Show Local Connections.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_04.png
Hình 4: Sessions – Actions
Trong Hình 4, có thể đánh dấu vào lựa chọn Sound để khi có kết nối, sẽ có thông báo bằng âm thanh.
Chú ý:
Trên Windows XP Proffesional cho phép 10 kết nối truy cập đến trong cùng một thời điểm. Có thể dùng tab Session để quản lý các kết nối đó. Có thể sử dụng menu chuột phải (Hình 1) với các chức năng: Close connection – để đóng kết nối được lựa chọn; Block host – để block máy remote có IP cột Workstation; Block user – để block user trong kết nối đang được lựa chọn.
Công cụ Computer Management của Windows (trong Administrative Tools) cũng có tính năng tương tự. Xem hình 5.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_05.png
Hình 5: Computer Management – mục Sessions
3.2. Tab Accessed Files
Tab Accessed Files đưa ra danh sách các file hiện thời đang được truy cập bởi các user.
Ví dụ: Copy một số file từ máy cài đặt ShareAlarm.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_06.png
Hình 6: Tab Accessed Files
View log:
Trên Hình 6, có thể chuột phải vào màn hình, trên menu chuột phải, chọn View log.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_07.png
Hình 7: files_log_index.html
Khi chọn View log, trình duyệt web sẽ mở file có tên là files_log_index.html trong thư mục cài đặt ShareAlarm. Nội dung của file này là chi tiết về thời gian của user nào sử dụng file nào.
3.3. Tab Events
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_08.png
Hình 8: Tab Events
Tab Events đưa ra danh sách các sự kiện liên quan đến bảo mật. Các sự kiện đó được liệt kê theo 3 cột: cột Category, cột Date/Time và cột Details.
Ví dụ:
Có thể mở một thư mục share trên máy cài ShareAlarm, nhập user name /password khi được yêu cầu. Nếu nhập đúng, nhập sai, sự kiện đó sẽ được ghi lại trên tab Events.
View log:
Trong Hình 8, trên menu chuột phải, khi chọn View log.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_09.png
Hình 9: events_log_index.html
Sau khi chọn View log, trình duyệt web sẽ mở file events_log_index.html. File này chứa các thông tin chi tiết về các sự kiện (hình 9).
Settings của Events:
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_10.png
Hình 10: Events Settings – Events List
Trong cửa sổ Settings, nhắp đúp vào Events, sau đó lựa chọn Events List (Hình 10). Danh sách chi tiết các Event sẽ được ShareAlarm theo dõi như Hình 11.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_11.png
Hình 11: Events List
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_12.png
Hình 12: Events Settings – Actions
Các Action của Events bao gồm:
Show Pop-up Window on Event Detection – Hiển thị một cửa sổ pop-up mỗi khi detect được sự kiện.
Send Message – Khi có sự kiện sẽ thông báo bằng Message.
Send e-Mail – khi có sự kiện sẽ gửi thông báo đến một địa chỉ email. Cửa sổ Pop-up có dạng như Hình 13.
http://www.electronicfiles.net/files/2133/centos5/share_alarm_use_13.png
Hình 13: Cửa sổ Pop-up
Trên hình 13, cửa sổ pop-up sẽ có chi tiết như: Event ID (xem hình 12 để biết các event id), Category (xem Hình 8),…
Có thể đánh dấu vào ô Don’t show this window any more để cửa sổ pop-up này không xuất hiện khi có sự kiện.
(Còn tiếp ...)
