interprétation des logs

Marsh Posté le 28-02-2008 à 12:22:44

Salut

J'ai une société qui a installé une application et des répertoires sur notre serveur 2003 STD via VPN

Depuis 2 jours, leurs fichiers sont supprimés systématiquement au bout d’un certain temps.. Sauf ceux qui sont utilisés par un processus. Ils recopient leurs fichiers et idem le lendemain plus de fichier.

J'ai mis en place un audit sur le dossier et j'ai le résultat suivant, merci de m'aider à l'interprété en particulier a ligne "nom du fichier image"

Code :

Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès aux objets
ID de l'événement : 560
Date : 27/02/2008
Heure : 22:36:24
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : SERV03
Description :
Objet ouvert
Serveur de l'objet : Security
Type de l'objet : File
Nom de l'objet : D:\fototek\bin\Tomcat_5.0.28\bin\catalina.50.bat
Identificateur du handle : 6808
Identificateur de l'opération : {0,94951954}
Id. du processus : 1852
Nom du fichier image : D:\fototek\bin\Tomcat_5.0.28\bin\tomcat5.exe
Utilisateur principal : SERV03$
Domaine principal : STEP-SA01
Id d'ouv. de session principale : (0x0,0x3E7)
Utilisateur du client : -
Domaine du client : -
Id. d'ouv. de session client : -
Accès : DELETE
ReadAttributes
Privilèges : -
Nombre de SID restreint : 0
Masque d'accès : 0x10080
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

Merci

Marsh Posté le 28-02-2008 à 12:22:44

Marsh Posté le 28-02-2008 à 17:02:54

Le programme Tomcat5.exe a effacé le fichier catalina.50.bat

Marsh Posté le 29-02-2008 à 11:11:28

MERCI

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed

Name *

Email *

URL

Message *