home *** CD-ROM | disk | FTP | other *** search
/ Network Supervisor's Toolkit / Network Supervisor's Toolkit.iso / accounts / p-audit / paudit2.doc next >
Text File  |  1996-07-10  |  15KB  |  390 lines

  1.  
  2. PAUDIT2              (v1.35  Nov 1992)
  3.                      (Written by Wolfgang Schreiber, WSCHREIB @ NOVELL)
  4.  
  5.  
  6. Purpose:
  7.    Use PAUDIT2 to view the system accounting records (NET$ACCT.DAT).
  8.  
  9.    While NetWare's PAUDIT only allows a global view of accounting data,
  10.    PAUDIT2 gives a more comfortable compact overview and additionally
  11.    allows searching for specific information.
  12.  
  13. Some advantages of PAUDIT2:
  14.    - several criteria to select data from the audit file
  15.    - higher speed, only 10% of PAUDIT's Network load
  16.    - selectable input file
  17.    - read/recover damaged NET$ACCT.DAT
  18.    - optional data base formatted or Btrieve output
  19.  
  20. General information:
  21.    If you have NetWare 2.1x / 2.2x / 3.xx you should have accounting
  22.    installed.  If you have it installed NetWare will put notes about 
  23.    all logins and logouts into the file SYS:SYSTEM\NET$ACCT.DAT.
  24.    This allows you to implement a higher level of security on your system.
  25.  
  26.    If you charge users for any service, charge and activity records will
  27.    also be stored in the accounting file.
  28.  
  29.    The accounting file will grow depending on the activities on your network.
  30.    It is a good idea, to store this file to a floppy and delete it every
  31.    now and then (perhaps once a month) to keep it within reasonable size.
  32.    NetWare will automatically create a new NET$ACCT.DAT.
  33.  
  34. ---------------------------------------------------------------
  35.  
  36. Command Format:      PAUDIT2 [option list]
  37.  
  38.     "PAUDIT2"    without any options shows all available information.
  39.     "PAUDIT2 ?"  gives a syntax overview
  40.  
  41.  
  42. Available options (most options can be combined):
  43.  
  44.      A[fter]=<dd.mm.yy>      Show only events on or after date
  45.      Be[fore]=<dd.mm.yy>     Show only events on or before date
  46.      Bt[rieve][=name]        Output to Btrieve file  (only in PAUDIT2 v1.31)
  47.      C[harges]               Display charges only
  48.      Da[tabase]              Output in data base style
  49.      DefU[ser]               List default users per PC
  50.      DefPC                   List default PC address per user
  51.      Di[sk]                  Disk access and charges
  52.      F[ile]=<filename>       Input from specified file
  53.      G[roup]=[!]<groupname>  Select/Exclude only group members
  54.      I[ntruder]              Intruder lockouts
  55.      L[ogin]                 Select only login notes
  56.      M[ap]=<username>        Semi-graphic user info
  57.      Ne[twork]=[!]<address>  Select/Exclude Network
  58.      No[de]=[!]<address>     Select/Exclude Station
  59.      R[ebuild]               Rebuild Accounting File
  60.      S[ervername]            Output with Server Name
  61.      Un[usual]               Unusual events, security analysis
  62.      Us[er]=[!]<username>    Select/Exclude specified user
  63.      W[arning]               Important messages (time changes / intruders)
  64.  
  65.  
  66. ---------------------------------------------------------------
  67.  
  68. New features / Program history:
  69.    v1.34b (Nov 92)
  70.    - bug fix: the 'GR=<groupname>' did not work correctly
  71.    - optional Btrieve output is included by default
  72.  
  73.    v1.34  (Oct 92)
  74.    - allow selection AND exclusion for the options '/User', '/Group',
  75.      '/Node', and '/NetWork'.
  76.    - the option '/Repair' is replaced by a more powerful option '/Rebuild'.
  77.  
  78.    v1.33  (Jul 92)
  79.    - temporarily close the file NET$ACCT.DAT while waiting for user input. 
  80.      This is a workaround to fix a NetWare bug (NetWare does not allow 
  81.      read access to NET$ACCT.DAT while it adds new records).
  82.    - no blanks between fields in database formatted output
  83.    - fix for incorrect operation of the '/Node' option
  84.  
  85.    v1.32  (Jul 92)
  86.    - bug fix with the '/MAP' option
  87.    - '/Database' now has record type 91 for general charges, 
  88.      92 for disk storage charges
  89.  
  90.    v1.31  (Jan 92)
  91.    - Optional output to Btrieve files (feature available on request)
  92.  
  93.    v1.30  (Jan 92)
  94.    - Multiple options can be combined
  95.    - New option 'UNUSUAL'   (security analysis)
  96.    - New options 'DefPC' and 'DefUser' (usage analysis)
  97.    - New options 'Before'/'After'  replace the previous option 'Date'
  98.    - New features of option 'INTRUDER'
  99.    - Higher performance
  100.    - Show current search position during search
  101.    - Shareable access does not lock NET$ACCT.DAT
  102.    - bug fix: Accept user/group names with > 16 chars on command line
  103.    - bug fix: Repair for large accounting files
  104.  
  105.    v1.20  (Sept 91)
  106.    - Output can be formatted for other data base applications
  107.  
  108.    v1.14  (June 91)
  109.    - Allows specification of input file (other than NET$ACCT.DAT)
  110.  
  111.    v1.13  (May 91)
  112.    - Faster scanning of NET$ACCT.DAT with about 90% less network load
  113.      compared to Novell's PAUDIT.EXE
  114.    - Fault tolerant scanning skips bad parts of NET$ACCT.DAT
  115.    - New option 'REPAIR' allows to repair a bad NET$ACCT.DAT
  116.  
  117.    v1.12  (April 91)
  118.    - New options 'GROUP=<name>' and 'CHARGE=<name>'
  119.    - Computation of cumulated charges
  120.    - Built-in self test for virus infection
  121.    - Easier output redirection
  122.  
  123.  
  124. Usage:
  125.    To start PAUDIT2 one must be logged in to the specified file server.
  126.    You may start PAUDIT2 from any drive on the target server.
  127.    You do not need a drive mapping to SYS:SYSTEM, but you need
  128.    Open and Read rights in that directory ([RF] for NW 386).
  129.  
  130.    Output will pause after each screen display (only if not redirected).
  131.  
  132.  
  133. ---------------------------------------------------------------
  134.  
  135. Available Options:
  136.  
  137. <no option>   Show all accounting information
  138.     Syntax:   PAUDIT2
  139.     Example:  PAUDIT2
  140.  
  141.  
  142. After         Select audits from specified date or later
  143.     Syntax:   PAUDIT2 A[fter]=<dd.mm.yy>     (Leading zeros may be omitted)
  144.     Examples: PAUDIT2 After=31.8.91
  145.               PAUDIT2 Group=Students After=31.8.91
  146.  
  147. Before        Select audits from specified date or earlier
  148.     Syntax:   PAUDIT2 Be[fore]=<dd.mm.yy>    (Leading zeros may be omitted)
  149.     Examples: PAUDIT2 Bef=31.8.91
  150.               PAUDIT2 Bef=31.8.91 User=WSchreib Warn
  151.  
  152.  
  153. Btrieve       Output to Btrieve file         (not implemented in all versions)
  154.     Purpose:  Using this switch will cause PAUDIT2 to output its data
  155.               into the specified btrieve file.
  156.     Syntax:   PAUDIT2 Bt[[rieve]=<name>]
  157.     Examples: PAUDIT2 us=WSCHREIB Btrieve
  158.               PAUDIT2 us=WSCHREIB Bt=WS.btr After=31.1.91
  159.  
  160.     If no Btrieve file name is specified, the default name PAUDIT2.BTR
  161.     will be assumed.
  162.  
  163.     This switch is not yet fully implemented.
  164.     Please inform me if Btrieve support should be enhanced.
  165.  
  166.     The record structure for the resulting Btrieve file is:
  167.          RecType   :   Word;
  168.          Date      :   Date;
  169.          Time      :   Time;
  170.          ccode     :   Byte;
  171.          FS_ID     :   LongInt;
  172.          CL_ID     :   LongInt;
  173.          SrvType   :   WORD;
  174.          CmtType   :   WORD;
  175.          Charge    :   LongInt;
  176.          Comment   :   Array[1..20] of BYTE
  177.  
  178.  
  179. Charge        Show charge audits for users or groups
  180.     Syntax:   PAUDIT2 Ch[arge]
  181.     Examples: PAUDIT2 Charge
  182.               PAUDIT2 Ch User=guest
  183.               PAUDIT2 Group=sales Charge
  184.  
  185.  
  186. Database      Output in database format
  187.     Purpose:  Use this switch if you want to prepare PAUDIT2's output
  188.               for export into other data base with selectable field
  189.               delimiters and separators.
  190.     Syntax:   PAUDIT2 Da[tabase]
  191.     Example:  PAUDIT2 us=WSCHREIB Datab  > WS.EXP
  192.  
  193.     Every PAUDIT2 option can be followed by the data base switch.
  194.         Default field delimiter:  "
  195.         Default field separator:  ,
  196.     The result will look like:
  197.         "3", "08-20-1991", "09:55:01", "WSCHREIB", "49211B00:00001B040A63"
  198.         "4", "08-20-1991", "10:57:06", "WSCHREIB", "49211B00:00001B040A63"
  199.  
  200.     Other delimiters can be selected with the environment variable DEL:
  201.         e.g.:  SET DEL='     or SET DEL=NUL  (will result in no delimiters)
  202.     Other separators can be selected with the environment variable SEP:
  203.         e.g.:  SET SEP=;     or SET SEP=TAB  (Tabs as separators)
  204.  
  205.     The first value of each record represents the type of record (type of
  206.     accounting comment) in the accounting log:
  207.          1: Connect time, requests, reads and writes
  208.          2: Disk storage
  209.          3: Login
  210.          4: Logout
  211.          5: Intruder lockout
  212.          6: Server time change
  213.         99: Charges / comments
  214.  
  215.  
  216. DefPC         List all users and their preferred PC addresses
  217.     Purpose:  Create a list of users with their usual node addresses
  218.     Syntax:   PAUDIT2 DefPC
  219.     Example:  PAUDIT2 DefPC
  220.  
  221.  
  222. DefUser       List all PCs addresses and their normal user
  223.     Purpose:  Create a list of nodes with their default user
  224.     Syntax:   PAUDIT2 DefU[ser]
  225.     Example:  PAUDIT2 DefUser
  226.  
  227.  
  228. Disk          Show disk access charges
  229.     Syntax:   PAUDIT2 Di[sk]
  230.     Examples: PAUDIT2 Disk
  231.               PAUDIT2 User=WSCHREIB Before=31.12.90 Disk
  232.  
  233.  
  234. File          Use alternate input file
  235.     Purpose:  Analyse specified file instead of the current accounting file
  236.     Syntax:   PAUDIT2 F[ile]=<name>     (Default is SYS:SYSTEM\NET$ACCT.DAT)
  237.     Example:  PAUDIT2 us=WSCHREIB  File=F:NET$ACCT.OLD
  238.  
  239.  
  240. Group         Show audits for members of specified group
  241.     Syntax:   PAUDIT2 Gr[oup]=<groupname>
  242.     Examples: PAUDIT2 GR=wp_user
  243.               PAUDIT2 GR=wp_user Warning After=1.1.92
  244.               PAUDIT2 GR=!wp_user       (Exclude group members)
  245.  
  246.  
  247. Intruder      Show intruder lockout messages
  248.     Purpose:  Try to locate and identify intruders
  249.               (Cannot be combined with other options)
  250.     Syntax:   PAUDIT2 In[truder]
  251.     Example:  PAUDIT2 Intr
  252.  
  253.  
  254. Login         Show only logins
  255.     Syntax:   PAUDIT2 Lo[gin]
  256.     Examples: PAUDIT2 Log
  257.               PAUDIT2 Login Node=ABC Gr=Students
  258.  
  259.  
  260. Map           Show audits for one user in semi-graphic mode
  261.     Purpose:  Create semi-graphical usage analysis for specified user
  262.     Syntax:   PAUDIT2 MAP=<username>
  263.     Examples: PAUDIT2 MAP=guest
  264.               PAUDIT2 Map=Guest Net=123 before=31.12.1990
  265.  
  266.  
  267. Network       Show all audits for specified network address
  268.     Syntax:   PAUDIT2 Ne[twork]=<net_address>
  269.     Examples: PAUDIT2 Net=A123        (Leading zeros may be omitted)
  270.               PAUDIT2 Net=10ABC User=WSCHREIB Warn
  271.               PAUDIT2 Net=!ABC        (Exclude network ABC)
  272.  
  273.  
  274. Rebuild       Repair damaged NET$ACCT.DAT file
  275.     Purpose:  Correct errors in accounting file
  276.     Syntax:   PAUDIT2 Re[build]
  277.     Examples: PAUDIT2 Rebuild              (repair complete file)
  278.               PAUDIT2 U=!GUEST /Rebuild    (filter GUEST from audit file)        
  279.  
  280.     The original NET$ACCT.DAT will NOT be modified. A repaired copy of
  281.     NET$ACCT.DAT with the name 'NET$ACCT.NEW' will be placed to your
  282.     current drive, instead. You should copy this file to SYS:SYSTEM as
  283.     'NET$ACCT.DAT' after saving the damaged original.
  284.  
  285.     Rebuild can also be used to create subsets of the accounting 
  286.     file. The option can be combined with most of the other options 
  287.     to create subsets of accounting files with selected data, only.
  288.  
  289.  
  290. ServerName    Output with preceeding server name
  291.     Purpose:  Allow easier identification of data base information
  292.     Syntax:   PAUDIT2 S[erverName]
  293.     This option is primarily useful in combination with the data base
  294.     option if it is desired to include the server name for documentation.
  295.     Example:  PAUDIT2 User=WSCHREIB Servername Database
  296.  
  297.  
  298. Node          Show all audits of specified physical station
  299.     Syntax:   PAUDIT2 No[de]=<station_address>
  300.     Examples: PAUDIT2 Node=EC004B     (Leading zeros may be omitted)
  301.               PAUDIT2 Node=2 After=1.1.92
  302.               PAUDIT2 Node=!2         (Exclude node 2)
  303.  
  304.  
  305. Unusual       Show users on unusual workstations
  306.     Purpose:  Tries to identify intruders and users who login on unusual
  307.               node addresses
  308.               (Cannot be combined with other options)
  309.     Syntax:   PAUDIT2 Un[usual]
  310.     Example:  PAUDIT2 Unusual
  311.  
  312.     Display all incidents where users login or try to login from PCs
  313.     that they normally don't use.
  314.     Identify the owner of PCs that caused intruder detection warnings.
  315.  
  316.  
  317. User          Show audits for one specified user only
  318.     Syntax:   PAUDIT2 Us[er]=<username>
  319.     Examples: PAUDIT2 US=supervisor
  320.               PAUDIT2 U=Wschreib Net=123
  321.               PAUDIT2 U=!Wschreib Net=123      (Exclude user WSCHREIB)
  322.  
  323.  
  324. Warning       Show warnings from audit file
  325.     Purpose:  Show security relevant audits (time changes/intruder)
  326.     Syntax:   PAUDIT2 WA[rning]
  327.     Examples: PAUDIT2 Warn
  328.               PAUDIT2 US=supervisor Warn
  329.  
  330.  
  331. ---------------------------------------------------------------
  332.  
  333. Restrictions:
  334.    - Some options cannot be combined with others:
  335.      'Repair', 'DefPC', 'DefUser', 'Unusual'
  336.    - Some useless combinations are prohibited
  337.    - Btrieve output is available only on request
  338.  
  339. ---------------------------------------------------------------
  340.  
  341.  
  342. Error Messages / Troubleshooting:
  343.  
  344.    - 'Btrieve requester not loaded.'
  345.      To utilize Btrieve file output features of PAUDIT2
  346.      the Btrieve requester must be loaded first.
  347.  
  348.    - 'Could not create ... '
  349.      A new accounting file could not be created. Check rights, drive,
  350.      and name of new file.
  351.  
  352.    - 'Error in ... : offset ...'
  353.      The accounting file was corrupt. Try the option 'REPAIR'
  354.  
  355.    - 'Insufficient Memory'
  356.      Some options (Intruder, DefPC, DefUser, Unusual) nee more memory than
  357.      your PC has. Try removing some resident utilities or use a more
  358.      efficient memory manager.
  359.  
  360.    - 'Invalid Address'
  361.      The address entered was invalid (too short or too long)
  362.  
  363.    - 'Invalid combination of options'
  364.      Some PAUDIT2 options cannot be combined with certain others
  365.  
  366.    - 'Invalid Date'
  367.      Enter the date in European format: Day.Month.Year
  368.  
  369.    - 'Group does not exist'
  370.      A non-existing user was specified on the command line.
  371.  
  372.    - 'PAUDIT2 (...) is damaged or virus infected !'
  373.      PAUDIT2 does not have the expected file size. This might be caused
  374.      by virus infections.  Check your system.
  375.  
  376.    - 'Unexpected end of ... '
  377.      The accounting file was corrupt. Try the option 'REPAIR'
  378.       
  379.    - 'User does not exist'
  380.      A non-existing user was specified on the command line.
  381.  
  382.    - 'Waiting to get file access ... '
  383.      The accounting file SYS:SYSTEM\NET$ACCT.DAT is locked by NetWare
  384.      or another application.
  385.  
  386.  
  387. Public Domain Software written by   Dr. Wolfgang Schreiber
  388.  
  389. --------------------------------------------------------------
  390.