flixs

TimeGenerated ComputerName Strings ------------------- ------------ ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 2007-10-09 14:49:29 WINDOWSPC Security|File|C:\Drivers\Neuer Ordner|2620|0|3793042|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537 %%1538 %%1541 %%4423 |-|0 2007-10-09 14:49:29 WINDOWSPC Security|File|C:\Drivers\Neuer Ordner|2620|0|3793056|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537 %%1541 %%4423 |-|0 sieht relativ genauso aus muss man den LogParser eigtl direkt auf dem Fileserver installieren oder kann man ihn auch von einem anderen PC öffnen aber die Evtlog vom Server abfragen oder aber die abfrage von einem PC am Server ..will immer ungern etwas auf einem Server installieren.. PS: ah habs: Ordner freigeben und auf dem FS Server mounten und dann in der Konsole manuell hinnavigieren

TimeGenerated TimeWritten ComputerName Strings ------------------- ------------------- ------------ ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 2007-10-09 14:49:29 2007-10-09 14:49:29 WINDOWSPC Security|File|C:\Drivers\Neuer Ordner|2620|0|3793042|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537 %%1538 %%1541 %%4423 |-|0 2007-10-09 14:49:29 2007-10-09 14:49:29 WINDOWSPC Security|File|C:\Drivers\Neuer Ordner|2620|0|3793056|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537 %%1541 %%4423 |-|0 2007-10-09 14:52:49 2007-10-09 14:52:49 WINDOWSPC Security|File|C:\Drivers\Kopie von Neu Bitmap.bmp|2580|0|3940519|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537 %%1538 %%1541 %%4417 %%4418 %%4420 %%4423 %%4424 C:\programme\LogParser2.2\logparser.exe -resolveSIDs:ON "SELECT Timegenerated, timewritten, computername, Strings into c:\report.txt FROM Security WHERE EventID = 560" die %%1538 etc sind Kennungen, kann man die noch excluden? dann wäre auch ein löschvorgang = 1 Zeile Text, Username steht ja dann hinten weiter VIELEN DANK schonmal an euch, ohne Forum wäre ich echt aufgeschmissen :D

es gibt im Ereignislog das Feld User oder Benutzer aber über Select * bekomme ich das nicht strings wäre dann wohl die Beschreibung unten, oder? was mir bei deinem Script grad noch aufgefallen ist, er loggt nur Vorgänge von Dateien in diesem Ordner direkt, lösch ich Ordner oder files in einem Subfolder werden diese nicht erfasst

LogParser.exe "Select TimeGenerated, TimeWritten, Computername, Strings into report.txt FROM Security Where EventID = 560" damit haut es relativ gut hin, wobei mir das Strings zwar den Usernamen hergibt, allerdings auch das log aufbläßt indem es die ganzen Eindows strings und Codes mit ausgibt Strings/Benutzer wäre gut :) habe mir überlegt, evtl reicht auch schon der Computername, da jeder seinen eigenen hat und der Name dann ja zuweisbar ist, aber username wäre noch eindeutiger

ja da sagste was, ich habe bald 10jahre programiert, schulmäßig... und kann aber immer nur grundzüge oder quelltext anpassen/verstehen geht auch noch, aber selbst schreiben - no way.. da hab ich 2 linke Hände :) in deinem Script fehlten eigtl auch nur noch 2 Dinge - Zeilenumbruch am Ende eines Eintrags ;) - und das User und Datum/Zeit erfasst werden Datei wird ja angezeigt mit pfad, welche gelöscht wurde

Hallo thumb nagut muss man nur beim Server neustart dran denken es wieder zu starten.. das ginge auch so, kommt ja nicht so häufig vor :) kann das script denn erkennen wer und wann die datei erstellt und gelöscht wurde? in der msgbox erscheint ja nur das etwas passiert ist und das ganze dann noch in eine txt file reinschreibt (man ich brauch mal eine scripting Schulung :( )

EventLog RecordNumber TimeGenerated TimeWritten EventID EventType EventTypeName EventCategory EventCategoryName SourceName Strings ComputerName SID Message Data -------- ------------ ------------------- ------------------- ------- --------- ------------------- ------------- ----------------- ---------- ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------ ------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------ Security 25 2007-10-09 14:52:54 2007-10-09 14:52:54 560 8 Success Audit event 3 Objektzugriff Security Security|File|C:\Drivers\Kopie (2) von Neu Bitmap.bmp|2196|0|4052379|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537 %%1538 %%4423 |-|0 WINDOWSPC S-1-5-21-329068152-117609710-1644491937-500 Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: C:\Drivers\Kopie (2) von Neu Bitmap.bmp Handlekennung: 2196 Vorgangskennung: {0,4052379} Prozesskennung: 1504 Abbilddateiname: C:\WINDOWS\explorer.exe Primärer Benutzername: Administrator Primäre Domäne: WINDOWSPC Primäre Anmeldekennung: (0x0,0x98F7) Clientbenutzername: - Clientdomäne: - Clientanmeldekennung: - Zugriffe: LÖSCHEN LESEN_KONTROLLE Attribute lesen Rechte: - Beschränkte SID-Anzahl: 0 <NULL> Security 29 2007-10-09 14:52:54 2007-10-09 14:52:54 560 8 Success Audit event 3 Objektzugriff Security Security|File|C:\Drivers\Kopie (2) von Neu Bitmap.bmp|2196|0|4052392|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537 %%1541 %%4423 |-|0 WINDOWSPC S-1-5-21-329068152-117609710-1644491937-500 Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: C:\Drivers\Kopie (2) von Neu Bitmap.bmp Handlekennung: 2196 Vorgangskennung: {0,4052392} Prozesskennung: 1504 Abbilddateiname: C:\WINDOWS\explorer.exe Primärer Benutzername: Administrator Primäre Domäne: WINDOWSPC Primäre Anmeldekennung: (0x0,0x98F7) Clientbenutzername: - Clientdomäne: - Clientanmeldekennung: - Zugriffe: LÖSCHEN SYNCHRONISIEREN Attribute lesen Rechte: - Beschränkte SID-Anzahl: 0 <NULL> @Brainstorm das kommt dabei raus, kann man nur einzelen Spalten abfragen? mir würde es ja reichen Zeit, User und die Datei reichen die er verändert hat (gelöscht hat) zu bekommen, bekomme aber viele Fehlermeldungen sobald ich was in der Zeile hinzufüge -.- @thumb das klingt auch nach klein und praktisch wo starte ich das script denn dann und läuft es dann immer mit? beim Code anpassen bräuchte ich wirklich hilfe.. :) Danke schonmal

ich glaub ich habs so langsam das löschen von Ordner und Dateien wird nun mitgeloggt... jetzt gilts nur noch das auszulesen jetzt bin ich nicht so der ganz Programierfeste User... kannst du mir da weiterhelfen alle löschevents haben bei mir die Kennung 560, dort steht dann auch wer es gelöscht und vor allem welche Datei genau.. das bräuchte ich nun in einer relativ übersichtlichen Datei, txt xml ist egal D:\Programme\LogParser>logparser -i:EVT -o:XML "SELECT * FROM Sicherheit INTO repo rt.xml WHERE ereigniskennung= 560" Error: Syntax Error: extra token(s) after query: 'INTO' wie bekomme ich da jetzt die Kurve das es klappt?!

puh sieht in der tat sehr mächtig aus..da brauchste ja nen Führerschein zu ^^.. und Dos basiert :suspect: kann das denn mitloggen wer änderungen an Dateien/Ordnern vorgenommen hat? ..ist mir jetzt aus zahlreichen Beschreibungen nicht so schlüssig geworden

thx. bekommt man dann auch so Kleinkram wie Ordner löschen angezeigt? habs auf meinem PC mal aktiviert und ein bisschen gearbeitet aber keinen Eintrag in der Ereignisanzeige bekommen audit object access - failure, success audit policy change - failure, success audit process tracking - failure, success audit system events - failure, success habe ich aktiviert - war das das was du meintest? kann man dies dann nicht in eine txt Datei umleiten, dann kann man wenigstens nach Textpassagen suchen ..die Zustimmung das wir das mitloggen dürfen ist übrigens gegeben :)

Hallo gibt es in Win2003 Server die möglichkeit ein logfile der Dateien zu schreiben also das ganze auf einem Fileserver bei dem geloggt werden soll, wer was anlegt bzw löscht etc (via Netzwerkfreigabe) geht das? wenn ja wo und wie?? Thx for Tips :)

und die Rechte werden deshalb auf DL Gruppen vergeben, damit diese nur in dieser domäne gültig sind und nicht in einer anderen? und G Gruppen damit man zb der Buchhaltung dann in einer anderen domäne evtl andere Rechte zu geben? G Gruppen sind ja in jeder domäne bekannt und DL nur in der einen oder?

also könnte man es auch so begründen, das es so übersichtlich(er) ist und MS das so rät?! wie siehts denn bei mehreren domänen mit Replikationsverkehr aus? da ja nur G Gruppen repliziert werden. wenn zb. aus 3 domänen G gruppen in einer D einer domäne wären

Hallo ich brauch nochmal Klarheit bzgl domänen lokalen und domänen globaler Gruppen: Backround ist: ich habe eine domäne, mehrere Standorte und verschiedene Gruppen die ich auf Programme berechtige (das ganze ist für ein Vortrag bei dem ich das erklären muss warum ich D und G Gruppen verwende) also ich habe jeweils für ein Programm die User in eine G und diese in eine D Gruppe gepackt. Warum aber braucht man die Domänen Lokale, weil eigtl gehts ja auch nur mit der Globalen. das ganze vllt mit Blick auf mehrere Domänen und mehr Berechtigungen ich habs zwar schon hier und da mal so halb gelesen aber so richtig überzeugend verstanden hab ichs immer noch net :suspect: falls einer davon Ahnung hat aber nich ganz versteht was ich will kann ichs ihm auch gern noch genauer erklären ;)

jo und immerwieder son kleines häkchen irgendwo ;)

nach der Übernahme haben admins ja vollzugriff aber ich hab was gefunden unter erweitert unten den haken setzen bei "Berechtigungen aller unterordner durch die oben angezeigten ersetzen" übernehmen...löschen und dann gehts auf einmal auch :jau: thx for inspiration ;)

der schreibschutz ist grau hinterlegt... lässt sich zwar rausnehmen ist aber beim schließe und wieder öffnen des fensters wieder aktiviert frapos: besitz hab ich übernommen.. welche ntfs Rechte meinst du? btw ja sind XP Profile :)

Hallo ich möchte alle alten Profile auf unserm Fileserver löschen bei 70% ging das auch Problemlos... der Rest sagt immer "ntuser.pol ist schreibgeschützt..." und weiter: "ntuser kann nicht gelöscht werden: Zugriff verweigert!" der Besitz ist übernommen aber er lässt mich einfach nicht. hat jemand ne Ahnung?? thx schonmal Felix

hey cool auf die einfache idee bin ich natürlich net gekommen :rolleyes:

Hallo jemand ne idee wie man die emails von Outlook Express 6 nach outlook 2003 bekommt?? mir gehen nämlich die ideen aus importieren geht nich und manuell einfügen auch nicht flixs

hoi, ich wollt auch nächstes jahr mit nem kollegen den mcse machen, wäre also dann auch evtl dabei in FFM!! :)