Jump to content

Objektüberwachung / 200 MB in 1 Stunde


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Ich würde gerne eine Objektüberwachung für ein Netzlaufwerk ( auf dem Server nat. c:\home) einrichten. Habe die Objektüberwachung für den ordner Eingeschaltet und in

den Gruppenrichtlinien die Objektüberwachung eingeschaltet. Nun wächst mein

Sicherheitslog aber rasant. 200 MB in 1 Stunde !

Auch ist es nicht einfach das entsprechende Event zu finden.

 

Gibts denn keine einfache Möglichkeit "Löschüberwachung" für einen Ordner+Unterordner zu implementieren. ??

 

Ich bräuchte irgendwas dass mir einfach nur alle Löschvorgänge in diesem Ordner protokolliert. Nicht mehr und nicht weniger ;-)

 

Bestimmt wisst ihr da was, oder ?

 

Danke, danke, danke

 

 

balu

Link to comment

Hallo,

Gibts denn keine einfache Möglichkeit "Löschüberwachung" für einen Ordner+Unterordner zu implementieren. ??

wenn Du den Überwachungseintrag (in den Ordnereigenschaften) bearbeitest, kannst Du genau die zu überwachenden Handlungen auswählen, u.a. auch Löschen (Erfolg/Fehler).

 

Gruß Robert

Link to comment
Hallo,

 

wenn Du den Überwachungseintrag (in den Ordnereigenschaften) bearbeitest, kannst Du genau die zu überwachenden Handlungen auswählen, u.a. auch Löschen (Erfolg/Fehler).

 

Gruß Robert

 

 

 

Danke, das habe ich schon gemacht.

Evtl. liegt das Problem bei ntsyslog.

Hatte das programm mal installiert und das erzeugt anscheinend nun ziemlich viele

Eventlogeinträge. Mal schauen......

Denn 400 Mbyte Eventlogeinträge in 2-3 Stunden ist halt doch zuviel ;-)

Oder ist das normal ?

 

Welche Ereignisskennungen deuten denn auf Löschen von ordnern und Dateien hin ?

567 ? 563 ? 564 ? *grübel*

 

 

Im Eventlog steht z. bsp.:

 

------------------------------------------------------------------------------------------------

Objektzugriffsversuch:

Objektserver: Security

Handlekennung: 2036

Objekttyp: File

Prozesskennung: 3820

Abbilddateiname: C:\WINDOWS\explorer.exe

Zugriffe: DELETE

 

Zugriffsmaske: 0x10000

 

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

------------------------------------------------------------------------------------------------

 

Woher weiss ich nun welche Datei gelöscht wurde ?

 

Balu

Link to comment
hier ist ein ganz einfaches VB-Proramm, mit dem du ein Verzeichnis ueberwachen kannst. Die Aktionen werden in eine Textdatei ausgegeben. Eine Ueberwachung der Untererverzeihnisse gibt die verwendete Klasse Filesystemwatcher leider nicht her. Einfach das Programm starten, Eingaben setzen und laufen lassen. Vielleicht hilfts dir schon

 

cu

blub

 

Das wäre perfekt.

Das mit den Unterverzeichnissen funktioniert doch !????

Was jetzt noch fehlen würde: Computername (1234.txt wurde von Computer "Chef" gelöscht)

 

Mei, dann wäre ich glücklich :rolleyes:

 

--------------------------------------------------------------------------------------

die Filtereingaben wurden verändert um 13.04.2007 18:25:39

die Filtereingaben wurden verändert um 13.04.2007 18:26:17

Die Datei c:\temp\neu textdatei.txt wurde dem Directory hinzugefügt um 13.04.2007 18:26:55

Die Datei c:\temp\312312i.txt wurde gelöscht um 13.04.2007 18:27:25

Die Datei c:\temp\neuer ordner wurde dem Directory hinzugefügt um 13.04.2007 18:27:46

Die Datei c:\temp\234\neu textdatei.txt wurde dem Directory hinzugefügt um 13.04.2007 18:27:51

Die Datei c:\temp\234 wurde verändert um 13.04.2007 18:27:51

Die Datei c:\temp\234 wurde verändert um 13.04.2007 18:27:56

Die Datei c:\temp\234\234.txt wurde gelöscht um 13.04.2007 18:28:08

Die Datei c:\temp\234 wurde verändert um 13.04.2007 18:28:08

----------------------------------------------------------------------------------------------

Link to comment
da hat sich offenbar was im .Net Framework 2.0 zum besseren geaendert :)

Ich werde mal probieren, ob ich das Programm noch ein bischen tunen kann. Allerdings komme ich erst in 14 Tagen wieder an meine Entwicklungsumgebung.

 

cu

blub

 

 

Cool :cool: .....

 

Ich reservier dir dann schon mal einen Platz in meinem Testament :rolleyes:

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...