Подскажите пожалуйста кто знает как можно защитить лог файл 1с 7.7 от возможного редактирования пользователями.
Настройка прав не помогает (пользователь либо может изменять текст либо нет)
Терминальный вариант не подходит. специфика не позволяет.
Шифрование файла не подходит. Политика ИБ не позволяет.

Есть ли возможность онлайн репликации файла или еще лучше чтоб лог файл писался в совсем другое место?

херасе, у вас юзеры логи правят?

чтобы писалься - можно. Сделать хардлинк.

(2) там наверное xp =)

разумнее было бы писать все изменения из лог файла в справочники по обработке ожидания раз в сколько то времени. Тогда уже смысла править лог файл нету. ) Но это сильно изменять конфу.

менять конфу никак нельзя

ТОлько одна тонкость... 1сина пишет в него под тем зверем, что запустил 1с...

(0) без вариантов. Показательные карательные меры - онле

(3) в хп тоже есть хардлинки.

да вот эта тонкость все и портит (проверено)

никак нельзя...

журнал нельзя изменить если он захвачен 1с

хотя можно попробовать блокировать часть файла по мере его записи

До прихода юзеров автоматом запускать базу дабы блокировать лог-файл

(13) +1

+(14) делать бэкапы журнала

А ты в курсе что править его можно только если в базе никого нет?
Простейший вариант держать в базе постоянно кого нибуть.
Скажем агента.

сделай каталог SYSLOG невидимым а на файл дай доступ.

это чуток усложнит жизнь хакеров :)

агент он подлый тип. сесия агента склона к зависанию что приводит к недоступности всей базы

17
надо мной за такой вариант начальники смеяться будут

только, что проверил, править можно, номер с блокировкой с помощью 1с не пройдет

(11) 1с не мешает писать в файл, она не дает его перезаписать целиком, но блочное чтение и запись разрешены

бэкапы спасут отца русской демократии

(19) почему?

делаешь как я сказал и делаешь новый каталог

SYSLOG (с русской буквой О в имени), юзер видит каталог - заходит туда а там лога нет :) шайтан....

(17) невидимый = без доступа

бэкапы не спасут. и тогр тут неуместен)
бэкапы можно делать только после 23.00 (политика такая)
а юзеры заканчивают в 18.00
т.е времени у них хватает

(23) лог нужно оставить -- чтобы его только и правил ))

23
я лично заел бы сразу через пуск выполнить
//сервер/шара/папка

включить аудит на этот файл уже предлагали?

ну и вообще путь к базе можно слегка скрыть используя стартеры типа http://infostart.ru/public/16686/

а каталоги сделать закрытыми без права чтения содержимого а на файлы даешь доступ, без прямого указания полного пути до конкретного файла хрен чего сделаешь

Аудит я предлагал начальству. они что то скептически отнеслись,
говорят "мы это проходили, это все фигня"

(27) в папке SYSLOG стоит запрет на просмотр содержимого, и куда ты попадешь?

29
надо переварить что ты сказал)

Ставишь 1с++, хукером перехватываешь, и пишешь  события в свою базу....
-------------------
ПодключитьСобытие_ЗаписьСобытияЖурналаРегистрации / AddEvent_ReportEventA

   Синтаксис: ПодключитьСобытие_ЗаписьСобытияЖурналаРегистрации()

   Описание: Подключает возможность получения события запись в системный журнал регистрации 1С в обработчике внутри глобального модуля Событие_ЗаписьСобытияЖурналаРегистрации(). При этом неважно, программная это запись или запись, выполненная системой.

   Данное событие может вызываться как при внутренних системных событиях, так и при вызове штатного метода 1С "ЗаписьЖурналаРегистрации".

   Описание обработчика: Функция/Процедура Событие_ЗаписьСобытияЖурналаРегистрации(EventCategory, Event, EvType, comment, object, ObjDescr)

   Если обработчик является функцией, то если он возвращает 0, системная запись в журнал регистрации выполняться не будет. Если 1, то запись будет выполнена. Если процедурой, системная запись в журнал регистрации будет выполнена.

   В параметре object передается ссылка на реальный объект, породивший данное событие.

   Если настройка 1С++ " ПерехватитьСобытияГК / EnableHookEventsGroupContext " не включена, будет выдано исключение.

ПодключитьСобытие_ЗаписьПользовательскогоСобытияЖурналаРегистрации / AddEvent_ReportUserEvent

   Синтаксис: ПодключитьСобытие_ЗаписьПользовательскогоСобытияЖурналаРегистрации()

   Описание: Подключает возможность получения события пользовательская запись в системный журнал регистрации 1С в обработчике внутри глобального модуля Событие_ЗаписьПользовательскогоСобытияЖурналаРегистрации().

   Данное событие вызывается только при вызове штатного метода 1С "ЗаписьЖурналаРегистрации".

   Описание обработчика: Функция/Процедура Событие_ЗаписьПользовательскогоСобытияЖурналаРегистрации(EventCategory, Event, EvType, comment, object, ObjDescr)

   Если обработчик является функцией, то если он возвращает 0, системная запись в журнал регистрации выполняться не будет. Если 1, то запись будет выполнена. Если процедурой, системная запись в журнал регистрации будет выполнена.

   В случае разрешения системной записи системой будет вызвано событие "Событие_ЗаписьСобытияЖурналаРегистрации" Поэтому в случае обработки обоих событий необходимо делать доп.проверку на пользовательские события.

   В параметре object передается ссылка на реальный объект, породивший данное событие.

   Если настройка 1С++ " ПерехватитьСобытияГК / EnableHookEventsGroupContext " не включена, будет выдано исключение.

31
запрет на просмотр содержимого это же и есть запрет на редактирование

Ну и хреновый из вас админ...
Есть такое право, как "Дозапись данных" :)

(32) только вот есть один серьензный минус, когда 1с переписывает файлы - она разрешения ставит по наследствию.

по этому например если я орграничиваю md только чтение, то после каждой записи из конфигуратора разрешения слетают.

+ Есть запрет на доступ к папочке, но тут же можно разрешить доступ к файлу... И поверь, не админ, все будет работать :)
Хотя все это от лукавого... по существу, лучше лог писать в самой БД, в какой либо справочник, и уже его защитить, как тебе угодно :)

+ Или писать вообще в стороннюю БД, если это SQL версия

33
спасибо товарищ. много подробно, но мне конфу менять нельзя

(39) отдай это тому, кому конфу менять можно. фактически, изменений там очень мало. В самой конфе можено ограничится десятком строк.

(0) Seven.dll при сильном желании можно изменить не только имя папки и файла, но и путь