home *** CD-ROM | disk | FTP | other *** search

---

/ Network Supervisor's Toolkit / Network Supervisor's Toolkit.iso / accounts / p-audit / paudit2.doc

next >

Wrap

Text File  |  1996-07-10  |  15KB  |  390 lines

---

1.  
2. PAUDIT2              (v1.35  Nov 1992)
3.                      (Written by Wolfgang Schreiber, WSCHREIB @ NOVELL)
4.  
5.  
6. Purpose:
7.    Use PAUDIT2 to view the system accounting records (NET$ACCT.DAT).
8.  
9.    While NetWare's PAUDIT only allows a global view of accounting data,
10.    PAUDIT2 gives a more comfortable compact overview and additionally
11.    allows searching for specific information.
12.  
13. Some advantages of PAUDIT2:
14.    - several criteria to select data from the audit file
15.    - higher speed, only 10% of PAUDIT's Network load
16.    - selectable input file
17.    - read/recover damaged NET$ACCT.DAT
18.    - optional data base formatted or Btrieve output
19.  
20. General information:
21.    If you have NetWare 2.1x / 2.2x / 3.xx you should have accounting
22.    installed.  If you have it installed NetWare will put notes about 
23.    all logins and logouts into the file SYS:SYSTEM\NET$ACCT.DAT.
24.    This allows you to implement a higher level of security on your system.
25.  
26.    If you charge users for any service, charge and activity records will
27.    also be stored in the accounting file.
28.  
29.    The accounting file will grow depending on the activities on your network.
30.    It is a good idea, to store this file to a floppy and delete it every
31.    now and then (perhaps once a month) to keep it within reasonable size.
32.    NetWare will automatically create a new NET$ACCT.DAT.
33.  
34. ---------------------------------------------------------------
35.  
36. Command Format:      PAUDIT2 [option list]
37.  
38.     "PAUDIT2"    without any options shows all available information.
39.     "PAUDIT2 ?"  gives a syntax overview
40.  
41.  
42. Available options (most options can be combined):
43.  
44.      A[fter]=<dd.mm.yy>      Show only events on or after date
45.      Be[fore]=<dd.mm.yy>     Show only events on or before date
46.      Bt[rieve][=name]        Output to Btrieve file  (only in PAUDIT2 v1.31)
47.      C[harges]               Display charges only
48.      Da[tabase]              Output in data base style
49.      DefU[ser]               List default users per PC
50.      DefPC                   List default PC address per user
51.      Di[sk]                  Disk access and charges
52.      F[ile]=<filename>       Input from specified file
53.      G[roup]=[!]<groupname>  Select/Exclude only group members
54.      I[ntruder]              Intruder lockouts
55.      L[ogin]                 Select only login notes
56.      M[ap]=<username>        Semi-graphic user info
57.      Ne[twork]=[!]<address>  Select/Exclude Network
58.      No[de]=[!]<address>     Select/Exclude Station
59.      R[ebuild]               Rebuild Accounting File
60.      S[ervername]            Output with Server Name
61.      Un[usual]               Unusual events, security analysis
62.      Us[er]=[!]<username>    Select/Exclude specified user
63.      W[arning]               Important messages (time changes / intruders)
64.  
65.  
66. ---------------------------------------------------------------
67.  
68. New features / Program history:
69.    v1.34b (Nov 92)
70.    - bug fix: the 'GR=<groupname>' did not work correctly
71.    - optional Btrieve output is included by default
72.  
73.    v1.34  (Oct 92)
74.    - allow selection AND exclusion for the options '/User', '/Group',
75.      '/Node', and '/NetWork'.
76.    - the option '/Repair' is replaced by a more powerful option '/Rebuild'.
77.  
78.    v1.33  (Jul 92)
79.    - temporarily close the file NET$ACCT.DAT while waiting for user input. 
80.      This is a workaround to fix a NetWare bug (NetWare does not allow 
81.      read access to NET$ACCT.DAT while it adds new records).
82.    - no blanks between fields in database formatted output
83.    - fix for incorrect operation of the '/Node' option
84.  
85.    v1.32  (Jul 92)
86.    - bug fix with the '/MAP' option
87.    - '/Database' now has record type 91 for general charges, 
88.      92 for disk storage charges
89.  
90.    v1.31  (Jan 92)
91.    - Optional output to Btrieve files (feature available on request)
92.  
93.    v1.30  (Jan 92)
94.    - Multiple options can be combined
95.    - New option 'UNUSUAL'   (security analysis)
96.    - New options 'DefPC' and 'DefUser' (usage analysis)
97.    - New options 'Before'/'After'  replace the previous option 'Date'
98.    - New features of option 'INTRUDER'
99.    - Higher performance
100.    - Show current search position during search
101.    - Shareable access does not lock NET$ACCT.DAT
102.    - bug fix: Accept user/group names with > 16 chars on command line
103.    - bug fix: Repair for large accounting files
104.  
105.    v1.20  (Sept 91)
106.    - Output can be formatted for other data base applications
107.  
108.    v1.14  (June 91)
109.    - Allows specification of input file (other than NET$ACCT.DAT)
110.  
111.    v1.13  (May 91)
112.    - Faster scanning of NET$ACCT.DAT with about 90% less network load
113.      compared to Novell's PAUDIT.EXE
114.    - Fault tolerant scanning skips bad parts of NET$ACCT.DAT
115.    - New option 'REPAIR' allows to repair a bad NET$ACCT.DAT
116.  
117.    v1.12  (April 91)
118.    - New options 'GROUP=<name>' and 'CHARGE=<name>'
119.    - Computation of cumulated charges
120.    - Built-in self test for virus infection
121.    - Easier output redirection
122.  
123.  
124. Usage:
125.    To start PAUDIT2 one must be logged in to the specified file server.
126.    You may start PAUDIT2 from any drive on the target server.
127.    You do not need a drive mapping to SYS:SYSTEM, but you need
128.    Open and Read rights in that directory ([RF] for NW 386).
129.  
130.    Output will pause after each screen display (only if not redirected).
131.  
132.  
133. ---------------------------------------------------------------
134.  
135. Available Options:
136.  
137. <no option>   Show all accounting information
138.     Syntax:   PAUDIT2
139.     Example:  PAUDIT2
140.  
141.  
142. After         Select audits from specified date or later
143.     Syntax:   PAUDIT2 A[fter]=<dd.mm.yy>     (Leading zeros may be omitted)
144.     Examples: PAUDIT2 After=31.8.91
145.               PAUDIT2 Group=Students After=31.8.91
146.  
147. Before        Select audits from specified date or earlier
148.     Syntax:   PAUDIT2 Be[fore]=<dd.mm.yy>    (Leading zeros may be omitted)
149.     Examples: PAUDIT2 Bef=31.8.91
150.               PAUDIT2 Bef=31.8.91 User=WSchreib Warn
151.  
152.  
153. Btrieve       Output to Btrieve file         (not implemented in all versions)
154.     Purpose:  Using this switch will cause PAUDIT2 to output its data
155.               into the specified btrieve file.
156.     Syntax:   PAUDIT2 Bt[[rieve]=<name>]
157.     Examples: PAUDIT2 us=WSCHREIB Btrieve
158.               PAUDIT2 us=WSCHREIB Bt=WS.btr After=31.1.91
159.  
160.     If no Btrieve file name is specified, the default name PAUDIT2.BTR
161.     will be assumed.
162.  
163.     This switch is not yet fully implemented.
164.     Please inform me if Btrieve support should be enhanced.
165.  
166.     The record structure for the resulting Btrieve file is:
167.          RecType   :   Word;
168.          Date      :   Date;
169.          Time      :   Time;
170.          ccode     :   Byte;
171.          FS_ID     :   LongInt;
172.          CL_ID     :   LongInt;
173.          SrvType   :   WORD;
174.          CmtType   :   WORD;
175.          Charge    :   LongInt;
176.          Comment   :   Array[1..20] of BYTE
177.  
178.  
179. Charge        Show charge audits for users or groups
180.     Syntax:   PAUDIT2 Ch[arge]
181.     Examples: PAUDIT2 Charge
182.               PAUDIT2 Ch User=guest
183.               PAUDIT2 Group=sales Charge
184.  
185.  
186. Database      Output in database format
187.     Purpose:  Use this switch if you want to prepare PAUDIT2's output
188.               for export into other data base with selectable field
189.               delimiters and separators.
190.     Syntax:   PAUDIT2 Da[tabase]
191.     Example:  PAUDIT2 us=WSCHREIB Datab  > WS.EXP
192.  
193.     Every PAUDIT2 option can be followed by the data base switch.
194.         Default field delimiter:  "
195.         Default field separator:  ,
196.     The result will look like:
197.         "3", "08-20-1991", "09:55:01", "WSCHREIB", "49211B00:00001B040A63"
198.         "4", "08-20-1991", "10:57:06", "WSCHREIB", "49211B00:00001B040A63"
199.  
200.     Other delimiters can be selected with the environment variable DEL:
201.         e.g.:  SET DEL='     or SET DEL=NUL  (will result in no delimiters)
202.     Other separators can be selected with the environment variable SEP:
203.         e.g.:  SET SEP=;     or SET SEP=TAB  (Tabs as separators)
204.  
205.     The first value of each record represents the type of record (type of
206.     accounting comment) in the accounting log:
207.          1: Connect time, requests, reads and writes
208.          2: Disk storage
209.          3: Login
210.          4: Logout
211.          5: Intruder lockout
212.          6: Server time change
213.         99: Charges / comments
214.  
215.  
216. DefPC         List all users and their preferred PC addresses
217.     Purpose:  Create a list of users with their usual node addresses
218.     Syntax:   PAUDIT2 DefPC
219.     Example:  PAUDIT2 DefPC
220.  
221.  
222. DefUser       List all PCs addresses and their normal user
223.     Purpose:  Create a list of nodes with their default user
224.     Syntax:   PAUDIT2 DefU[ser]
225.     Example:  PAUDIT2 DefUser
226.  
227.  
228. Disk          Show disk access charges
229.     Syntax:   PAUDIT2 Di[sk]
230.     Examples: PAUDIT2 Disk
231.               PAUDIT2 User=WSCHREIB Before=31.12.90 Disk
232.  
233.  
234. File          Use alternate input file
235.     Purpose:  Analyse specified file instead of the current accounting file
236.     Syntax:   PAUDIT2 F[ile]=<name>     (Default is SYS:SYSTEM\NET$ACCT.DAT)
237.     Example:  PAUDIT2 us=WSCHREIB  File=F:NET$ACCT.OLD
238.  
239.  
240. Group         Show audits for members of specified group
241.     Syntax:   PAUDIT2 Gr[oup]=<groupname>
242.     Examples: PAUDIT2 GR=wp_user
243.               PAUDIT2 GR=wp_user Warning After=1.1.92
244.               PAUDIT2 GR=!wp_user       (Exclude group members)
245.  
246.  
247. Intruder      Show intruder lockout messages
248.     Purpose:  Try to locate and identify intruders
249.               (Cannot be combined with other options)
250.     Syntax:   PAUDIT2 In[truder]
251.     Example:  PAUDIT2 Intr
252.  
253.  
254. Login         Show only logins
255.     Syntax:   PAUDIT2 Lo[gin]
256.     Examples: PAUDIT2 Log
257.               PAUDIT2 Login Node=ABC Gr=Students
258.  
259.  
260. Map           Show audits for one user in semi-graphic mode
261.     Purpose:  Create semi-graphical usage analysis for specified user
262.     Syntax:   PAUDIT2 MAP=<username>
263.     Examples: PAUDIT2 MAP=guest
264.               PAUDIT2 Map=Guest Net=123 before=31.12.1990
265.  
266.  
267. Network       Show all audits for specified network address
268.     Syntax:   PAUDIT2 Ne[twork]=<net_address>
269.     Examples: PAUDIT2 Net=A123        (Leading zeros may be omitted)
270.               PAUDIT2 Net=10ABC User=WSCHREIB Warn
271.               PAUDIT2 Net=!ABC        (Exclude network ABC)
272.  
273.  
274. Rebuild       Repair damaged NET$ACCT.DAT file
275.     Purpose:  Correct errors in accounting file
276.     Syntax:   PAUDIT2 Re[build]
277.     Examples: PAUDIT2 Rebuild              (repair complete file)
278.               PAUDIT2 U=!GUEST /Rebuild    (filter GUEST from audit file)        
279.  
280.     The original NET$ACCT.DAT will NOT be modified. A repaired copy of
281.     NET$ACCT.DAT with the name 'NET$ACCT.NEW' will be placed to your
282.     current drive, instead. You should copy this file to SYS:SYSTEM as
283.     'NET$ACCT.DAT' after saving the damaged original.
284.  
285.     Rebuild can also be used to create subsets of the accounting 
286.     file. The option can be combined with most of the other options 
287.     to create subsets of accounting files with selected data, only.
288.  
289.  
290. ServerName    Output with preceeding server name
291.     Purpose:  Allow easier identification of data base information
292.     Syntax:   PAUDIT2 S[erverName]
293.     This option is primarily useful in combination with the data base
294.     option if it is desired to include the server name for documentation.
295.     Example:  PAUDIT2 User=WSCHREIB Servername Database
296.  
297.  
298. Node          Show all audits of specified physical station
299.     Syntax:   PAUDIT2 No[de]=<station_address>
300.     Examples: PAUDIT2 Node=EC004B     (Leading zeros may be omitted)
301.               PAUDIT2 Node=2 After=1.1.92
302.               PAUDIT2 Node=!2         (Exclude node 2)
303.  
304.  
305. Unusual       Show users on unusual workstations
306.     Purpose:  Tries to identify intruders and users who login on unusual
307.               node addresses
308.               (Cannot be combined with other options)
309.     Syntax:   PAUDIT2 Un[usual]
310.     Example:  PAUDIT2 Unusual
311.  
312.     Display all incidents where users login or try to login from PCs
313.     that they normally don't use.
314.     Identify the owner of PCs that caused intruder detection warnings.
315.  
316.  
317. User          Show audits for one specified user only
318.     Syntax:   PAUDIT2 Us[er]=<username>
319.     Examples: PAUDIT2 US=supervisor
320.               PAUDIT2 U=Wschreib Net=123
321.               PAUDIT2 U=!Wschreib Net=123      (Exclude user WSCHREIB)
322.  
323.  
324. Warning       Show warnings from audit file
325.     Purpose:  Show security relevant audits (time changes/intruder)
326.     Syntax:   PAUDIT2 WA[rning]
327.     Examples: PAUDIT2 Warn
328.               PAUDIT2 US=supervisor Warn
329.  
330.  
331. ---------------------------------------------------------------
332.  
333. Restrictions:
334.    - Some options cannot be combined with others:
335.      'Repair', 'DefPC', 'DefUser', 'Unusual'
336.    - Some useless combinations are prohibited
337.    - Btrieve output is available only on request
338.  
339. ---------------------------------------------------------------
340.  
341.  
342. Error Messages / Troubleshooting:
343.  
344.    - 'Btrieve requester not loaded.'
345.      To utilize Btrieve file output features of PAUDIT2
346.      the Btrieve requester must be loaded first.
347.  
348.    - 'Could not create ... '
349.      A new accounting file could not be created. Check rights, drive,
350.      and name of new file.
351.  
352.    - 'Error in ... : offset ...'
353.      The accounting file was corrupt. Try the option 'REPAIR'
354.  
355.    - 'Insufficient Memory'
356.      Some options (Intruder, DefPC, DefUser, Unusual) nee more memory than
357.      your PC has. Try removing some resident utilities or use a more
358.      efficient memory manager.
359.  
360.    - 'Invalid Address'
361.      The address entered was invalid (too short or too long)
362.  
363.    - 'Invalid combination of options'
364.      Some PAUDIT2 options cannot be combined with certain others
365.  
366.    - 'Invalid Date'
367.      Enter the date in European format: Day.Month.Year
368.  
369.    - 'Group does not exist'
370.      A non-existing user was specified on the command line.
371.  
372.    - 'PAUDIT2 (...) is damaged or virus infected !'
373.      PAUDIT2 does not have the expected file size. This might be caused
374.      by virus infections.  Check your system.
375.  
376.    - 'Unexpected end of ... '
377.      The accounting file was corrupt. Try the option 'REPAIR'
378.       
379.    - 'User does not exist'
380.      A non-existing user was specified on the command line.
381.  
382.    - 'Waiting to get file access ... '
383.      The accounting file SYS:SYSTEM\NET$ACCT.DAT is locked by NetWare
384.      or another application.
385.  
386.  
387. Public Domain Software written by   Dr. Wolfgang Schreiber
388.  
389. --------------------------------------------------------------
390.