Balubär 10 Posted April 13, 2007 Report Share Posted April 13, 2007 Ich würde gerne eine Objektüberwachung für ein Netzlaufwerk ( auf dem Server nat. c:\home) einrichten. Habe die Objektüberwachung für den ordner Eingeschaltet und in den Gruppenrichtlinien die Objektüberwachung eingeschaltet. Nun wächst mein Sicherheitslog aber rasant. 200 MB in 1 Stunde ! Auch ist es nicht einfach das entsprechende Event zu finden. Gibts denn keine einfache Möglichkeit "Löschüberwachung" für einen Ordner+Unterordner zu implementieren. ?? Ich bräuchte irgendwas dass mir einfach nur alle Löschvorgänge in diesem Ordner protokolliert. Nicht mehr und nicht weniger ;-) Bestimmt wisst ihr da was, oder ? Danke, danke, danke balu Quote Link to comment
nobex 10 Posted April 13, 2007 Report Share Posted April 13, 2007 Hallo, Gibts denn keine einfache Möglichkeit "Löschüberwachung" für einen Ordner+Unterordner zu implementieren. ?? wenn Du den Überwachungseintrag (in den Ordnereigenschaften) bearbeitest, kannst Du genau die zu überwachenden Handlungen auswählen, u.a. auch Löschen (Erfolg/Fehler). Gruß Robert Quote Link to comment
Balubär 10 Posted April 13, 2007 Author Report Share Posted April 13, 2007 Hallo, wenn Du den Überwachungseintrag (in den Ordnereigenschaften) bearbeitest, kannst Du genau die zu überwachenden Handlungen auswählen, u.a. auch Löschen (Erfolg/Fehler). Gruß Robert Danke, das habe ich schon gemacht. Evtl. liegt das Problem bei ntsyslog. Hatte das programm mal installiert und das erzeugt anscheinend nun ziemlich viele Eventlogeinträge. Mal schauen...... Denn 400 Mbyte Eventlogeinträge in 2-3 Stunden ist halt doch zuviel ;-) Oder ist das normal ? Welche Ereignisskennungen deuten denn auf Löschen von ordnern und Dateien hin ? 567 ? 563 ? 564 ? *grübel* Im Eventlog steht z. bsp.: ------------------------------------------------------------------------------------------------ Objektzugriffsversuch: Objektserver: Security Handlekennung: 2036 Objekttyp: File Prozesskennung: 3820 Abbilddateiname: C:\WINDOWS\explorer.exe Zugriffe: DELETE Zugriffsmaske: 0x10000 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. ------------------------------------------------------------------------------------------------ Woher weiss ich nun welche Datei gelöscht wurde ? Balu Quote Link to comment
blub 115 Posted April 13, 2007 Report Share Posted April 13, 2007 hier ist ein ganz einfaches VB-Proramm, mit dem du ein Verzeichnis ueberwachen kannst. Die Aktionen werden in eine Textdatei ausgegeben. Eine Ueberwachung der Untererverzeihnisse gibt die verwendete Klasse Filesystemwatcher leider nicht her. Einfach das Programm starten, Eingaben setzen und laufen lassen. Vielleicht hilfts dir schon cu blub filewatcher.zip Quote Link to comment
Balubär 10 Posted April 13, 2007 Author Report Share Posted April 13, 2007 hier ist ein ganz einfaches VB-Proramm, mit dem du ein Verzeichnis ueberwachen kannst. Die Aktionen werden in eine Textdatei ausgegeben. Eine Ueberwachung der Untererverzeihnisse gibt die verwendete Klasse Filesystemwatcher leider nicht her. Einfach das Programm starten, Eingaben setzen und laufen lassen. Vielleicht hilfts dir schon cu blub Das wäre perfekt. Das mit den Unterverzeichnissen funktioniert doch !???? Was jetzt noch fehlen würde: Computername (1234.txt wurde von Computer "Chef" gelöscht) Mei, dann wäre ich glücklich :rolleyes: -------------------------------------------------------------------------------------- die Filtereingaben wurden verändert um 13.04.2007 18:25:39 die Filtereingaben wurden verändert um 13.04.2007 18:26:17 Die Datei c:\temp\neu textdatei.txt wurde dem Directory hinzugefügt um 13.04.2007 18:26:55 Die Datei c:\temp\312312i.txt wurde gelöscht um 13.04.2007 18:27:25 Die Datei c:\temp\neuer ordner wurde dem Directory hinzugefügt um 13.04.2007 18:27:46 Die Datei c:\temp\234\neu textdatei.txt wurde dem Directory hinzugefügt um 13.04.2007 18:27:51 Die Datei c:\temp\234 wurde verändert um 13.04.2007 18:27:51 Die Datei c:\temp\234 wurde verändert um 13.04.2007 18:27:56 Die Datei c:\temp\234\234.txt wurde gelöscht um 13.04.2007 18:28:08 Die Datei c:\temp\234 wurde verändert um 13.04.2007 18:28:08 ---------------------------------------------------------------------------------------------- Quote Link to comment
blub 115 Posted April 14, 2007 Report Share Posted April 14, 2007 da hat sich offenbar was im .Net Framework 2.0 zum besseren geaendert :) Ich werde mal probieren, ob ich das Programm noch ein bischen tunen kann. Allerdings komme ich erst in 14 Tagen wieder an meine Entwicklungsumgebung. cu blub Quote Link to comment
Balubär 10 Posted April 15, 2007 Author Report Share Posted April 15, 2007 da hat sich offenbar was im .Net Framework 2.0 zum besseren geaendert :) Ich werde mal probieren, ob ich das Programm noch ein bischen tunen kann. Allerdings komme ich erst in 14 Tagen wieder an meine Entwicklungsumgebung. cu blub Cool :cool: ..... Ich reservier dir dann schon mal einen Platz in meinem Testament :rolleyes: Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.