flixs

TimeGenerated       ComputerName Strings 
------------------- ------------ -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2007-10-09 14:49:29 WINDOWSPC    Security|File|C:\Drivers\Neuer Ordner|2620|0|3793042|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537
		%%1538
		%%1541
		%%4423
		|-|0
2007-10-09 14:49:29 WINDOWSPC    Security|File|C:\Drivers\Neuer Ordner|2620|0|3793056|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537
		%%1541
		%%4423
		|-|0

sieht relativ genauso aus

muss man den LogParser eigtl direkt auf dem Fileserver installieren oder kann man ihn auch von einem anderen PC öffnen aber die Evtlog vom Server abfragen

oder aber die abfrage von einem PC am Server

..will immer ungern etwas auf einem Server installieren..

PS: ah habs: Ordner freigeben und auf dem FS Server mounten und dann in der Konsole manuell hinnavigieren

TimeGenerated       TimeWritten         ComputerName Strings 
------------------- ------------------- ------------ -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2007-10-09 14:49:29 2007-10-09 14:49:29 WINDOWSPC    Security|File|C:\Drivers\Neuer Ordner|2620|0|3793042|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537
		%%1538
		%%1541
		%%4423
		|-|0
2007-10-09 14:49:29 2007-10-09 14:49:29 WINDOWSPC    Security|File|C:\Drivers\Neuer Ordner|2620|0|3793056|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537
		%%1541
		%%4423
		|-|0
2007-10-09 14:52:49 2007-10-09 14:52:49 WINDOWSPC    Security|File|C:\Drivers\Kopie von Neu Bitmap.bmp|2580|0|3940519|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537
		%%1538
		%%1541
		%%4417
		%%4418
		%%4420
		%%4423
		%%4424

C:\programme\LogParser2.2\logparser.exe -resolveSIDs:ON "SELECT Timegenerated, timewritten, computername, Strings into c:\report.txt FROM Security WHERE EventID = 560"

die %%1538 etc sind Kennungen, kann man die noch excluden? dann wäre auch ein löschvorgang = 1 Zeile Text, Username steht ja dann hinten weiter

VIELEN DANK schonmal an euch, ohne Forum wäre ich echt aufgeschmissen :D

es gibt im Ereignislog das Feld User oder Benutzer

aber über Select * bekomme ich das nicht

strings wäre dann wohl die Beschreibung unten, oder?

was mir bei deinem Script grad noch aufgefallen ist, er loggt nur Vorgänge von Dateien in diesem Ordner direkt, lösch ich Ordner oder files in einem Subfolder werden diese nicht erfasst

LogParser.exe "Select TimeGenerated, TimeWritten, Computername, Strings into report.txt FROM Security Where EventID = 560"

damit haut es relativ gut hin, wobei mir das Strings zwar den Usernamen hergibt, allerdings auch das log aufbläßt indem es die ganzen Eindows strings und Codes mit ausgibt Strings/Benutzer wäre gut :)

habe mir überlegt, evtl reicht auch schon der Computername, da jeder seinen eigenen hat und der Name dann ja zuweisbar ist, aber username wäre noch eindeutiger

ja da sagste was, ich habe bald 10jahre programiert, schulmäßig... und kann aber immer nur grundzüge oder quelltext anpassen/verstehen geht auch noch, aber selbst schreiben - no way.. da hab ich 2 linke Hände :)

in deinem Script fehlten eigtl auch nur noch 2 Dinge

- Zeilenumbruch am Ende eines Eintrags ;)

- und das User und Datum/Zeit erfasst werden

Datei wird ja angezeigt mit pfad, welche gelöscht wurde

Hallo thumb

nagut muss man nur beim Server neustart dran denken es wieder zu starten.. das ginge auch so, kommt ja nicht so häufig vor :)

kann das script denn erkennen wer und wann die datei erstellt und gelöscht wurde? in der msgbox erscheint ja nur das etwas passiert ist

und das ganze dann noch in eine txt file reinschreibt (man ich brauch mal eine scripting Schulung :( )

EventLog RecordNumber TimeGenerated       TimeWritten         EventID EventType EventTypeName       EventCategory EventCategoryName SourceName Strings                                                                                                                                                                                     ComputerName SID                                         Message                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             Data 
-------- ------------ ------------------- ------------------- ------- --------- ------------------- ------------- ----------------- ---------- ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------ ------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------
Security 25           2007-10-09 14:52:54 2007-10-09 14:52:54 560     8         Success Audit event 3             Objektzugriff     Security   Security|File|C:\Drivers\Kopie (2) von Neu Bitmap.bmp|2196|0|4052379|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537
		%%1538
		%%4423
		|-|0          WINDOWSPC    S-1-5-21-329068152-117609710-1644491937-500 Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: C:\Drivers\Kopie (2) von Neu Bitmap.bmp Handlekennung: 2196 Vorgangskennung: {0,4052379} Prozesskennung: 1504 Abbilddateiname: C:\WINDOWS\explorer.exe Primärer Benutzername: Administrator Primäre Domäne: WINDOWSPC Primäre Anmeldekennung: (0x0,0x98F7) Clientbenutzername: - Clientdomäne: - Clientanmeldekennung: - Zugriffe: LÖSCHEN LESEN_KONTROLLE Attribute lesen Rechte: - Beschränkte SID-Anzahl: 0                <NULL>
Security 29           2007-10-09 14:52:54 2007-10-09 14:52:54 560     8         Success Audit event 3             Objektzugriff     Security   Security|File|C:\Drivers\Kopie (2) von Neu Bitmap.bmp|2196|0|4052392|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537
		%%1541
		%%4423
		|-|0          WINDOWSPC    S-1-5-21-329068152-117609710-1644491937-500 Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: C:\Drivers\Kopie (2) von Neu Bitmap.bmp Handlekennung: 2196 Vorgangskennung: {0,4052392} Prozesskennung: 1504 Abbilddateiname: C:\WINDOWS\explorer.exe Primärer Benutzername: Administrator Primäre Domäne: WINDOWSPC Primäre Anmeldekennung: (0x0,0x98F7) Clientbenutzername: - Clientdomäne: - Clientanmeldekennung: - Zugriffe: LÖSCHEN SYNCHRONISIEREN Attribute lesen Rechte: - Beschränkte SID-Anzahl: 0                <NULL>

@Brainstorm

das kommt dabei raus, kann man nur einzelen Spalten abfragen? mir würde es ja reichen Zeit, User und die Datei reichen die er verändert hat (gelöscht hat) zu bekommen, bekomme aber viele Fehlermeldungen sobald ich was in der Zeile hinzufüge -.-

@thumb

das klingt auch nach klein und praktisch

wo starte ich das script denn dann und läuft es dann immer mit?

beim Code anpassen bräuchte ich wirklich hilfe.. :)

Danke schonmal

ich glaub ich habs so langsam

das löschen von Ordner und Dateien wird nun mitgeloggt... jetzt gilts nur noch das auszulesen

jetzt bin ich nicht so der ganz Programierfeste User... kannst du mir da weiterhelfen

alle löschevents haben bei mir die Kennung 560, dort steht dann auch wer es gelöscht und vor allem welche Datei genau.. das bräuchte ich nun in einer relativ übersichtlichen Datei, txt xml ist egal

D:\Programme\LogParser>logparser -i:EVT -o:XML "SELECT * FROM Sicherheit INTO repo

rt.xml WHERE ereigniskennung= 560"

Error: Syntax Error: extra token(s) after query: 'INTO'

wie bekomme ich da jetzt die Kurve das es klappt?!

Umleiten in eine TXT Datei funktioniert meines Wissens nach nicht. Aber du kannst dir mal den Download details: Log Parser 2.2 anschauen. Sehr mächtiges Tool

 

Grüssle

BrainStorm

puh sieht in der tat sehr mächtig aus..da brauchste ja nen Führerschein zu ^^.. und Dos basiert :suspect:

kann das denn mitloggen wer änderungen an Dateien/Ordnern vorgenommen hat? ..ist mir jetzt aus zahlreichen Beschreibungen nicht so schlüssig geworden

Entweder lokal über gpedit.msc oder per Gruppenrichtlinien.

Die entspr. Einstellung findest Du unter

Conputerkonfig. -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien

thx. bekommt man dann auch so Kleinkram wie Ordner löschen angezeigt?

habs auf meinem PC mal aktiviert und ein bisschen gearbeitet aber keinen Eintrag in der Ereignisanzeige bekommen

audit object access - failure, success

audit policy change - failure, success

audit process tracking - failure, success

audit system events - failure, success

habe ich aktiviert - war das das was du meintest?

kann man dies dann nicht in eine txt Datei umleiten, dann kann man wenigstens nach Textpassagen suchen

..die Zustimmung das wir das mitloggen dürfen ist übrigens gegeben :)

Hallo

gibt es in Win2003 Server die möglichkeit ein logfile der Dateien zu schreiben

also das ganze auf einem Fileserver bei dem geloggt werden soll, wer was anlegt bzw löscht etc (via Netzwerkfreigabe)

geht das? wenn ja wo und wie??

Thx for Tips :)

und die Rechte werden deshalb auf DL Gruppen vergeben, damit diese nur in dieser domäne gültig sind und nicht in einer anderen?

und G Gruppen damit man zb der Buchhaltung dann in einer anderen domäne evtl andere Rechte zu geben?

G Gruppen sind ja in jeder domäne bekannt und DL nur in der einen oder?

also könnte man es auch so begründen, das es so übersichtlich(er) ist und MS das so rät?!

wie siehts denn bei mehreren domänen mit Replikationsverkehr aus? da ja nur G Gruppen repliziert werden. wenn zb. aus 3 domänen G gruppen in einer D einer domäne wären

Hallo

ich brauch nochmal Klarheit bzgl domänen lokalen und domänen globaler Gruppen:

Backround ist: ich habe eine domäne, mehrere Standorte und verschiedene Gruppen die ich auf Programme berechtige

(das ganze ist für ein Vortrag bei dem ich das erklären muss warum ich D und G Gruppen verwende)

also ich habe jeweils für ein Programm die User in eine G und diese in eine D Gruppe gepackt.

Warum aber braucht man die Domänen Lokale, weil eigtl gehts ja auch nur mit der Globalen. das ganze vllt mit Blick auf mehrere Domänen und mehr Berechtigungen

ich habs zwar schon hier und da mal so halb gelesen aber so richtig überzeugend verstanden hab ichs immer noch net :suspect:

falls einer davon Ahnung hat aber nich ganz versteht was ich will kann ichs ihm auch gern noch genauer erklären ;)

jo und immerwieder son kleines häkchen irgendwo ;)

nach der Übernahme haben admins ja vollzugriff

aber ich hab was gefunden

unter erweitert unten den haken setzen bei "Berechtigungen aller unterordner durch die oben angezeigten ersetzen"

übernehmen...löschen und dann gehts auf einmal auch :jau:

thx for inspiration ;)

der schreibschutz ist grau hinterlegt... lässt sich zwar rausnehmen ist aber beim schließe und wieder öffnen des fensters wieder aktiviert

frapos: besitz hab ich übernommen.. welche ntfs Rechte meinst du? btw ja sind XP Profile :)

Hallo

ich möchte alle alten Profile auf unserm Fileserver löschen

bei 70% ging das auch Problemlos... der Rest sagt immer

"ntuser.pol ist schreibgeschützt..." und weiter: "ntuser kann nicht gelöscht werden: Zugriff verweigert!"

der Besitz ist übernommen aber er lässt mich einfach nicht.

hat jemand ne Ahnung??

thx schonmal

Felix

hey cool

auf die einfache idee bin ich natürlich net gekommen :rolleyes:

Hallo

jemand ne idee wie man die emails von Outlook Express 6 nach outlook 2003 bekommt??

mir gehen nämlich die ideen aus

importieren geht nich und manuell einfügen auch nicht

flixs

hoi, ich wollt auch nächstes jahr mit nem kollegen den mcse machen, wäre also dann auch evtl dabei in FFM!! :)