Jump to content
Sign in to follow this  
Grobiii

wer hats gelöscht? Thema: Netzlaufwerk und Logs

Recommended Posts

Hallo,

 

also ich hab immer wieder das Problem das auf unserem Netzshare Folder verschwinden. Ansich nicht das Ding, da tägliche Backups vorhanden sind. Dennoch interessiert mich natürlich wer das immer war.

 

Der Server (MS Windows 2000) hat ja seine Logs dafür unter /WINNT/SYSTEM32/LOGFILES/...

 

Nur wie seh ich denn da was gelöscht wurde?

 

danke

Share this post


Link to post

Du kannst in den Sicherheitseinstellungen von Dateien und Ordnern unter 'Überwachung' einstellen, welche Aktivitäten überwacht werden sollen. Wenn Du dann noch per Richtlinie die Objektüberwachung aktivierst, kannst Du in der Ereignisanzeige des entspr. Servers die überwachten Vorgänge auslesen.

Btw, '/WINNT/SYSTEM32/LOGFILES/...' hat nichts mit der Objektüberwachung zu tun.

Share this post


Link to post

Hi,

 

dafür müßtest du das Filesystemlogging einschalten. Bei einem stark benutzen Server ist das allerdings nicht zu empfehlen, da das log sehr schnell sehr groß wird... ;-) Zudem kommt bei solchen Überwachungen immer auch noch das Thema Betriebsrat etc. hinzu.

 

Gruß

 

[edit]mist nobex war schneller[/edit]

Share this post


Link to post

Danke euch erstmal

 

Aber wo kann ich denn eure Vorschläge einstellen? bzw. ist Filesystemlogging nicht die von mir angesprochenen Logs?

Share this post


Link to post

"auf unserem Netzshare Folder verschwinden"..ich würde es erstmal unterbinden! Berechtigungen etc. Denke es ist einfacher das Problem zubeheben anstatt es auszuwerten:D

Share this post


Link to post
Aber wo kann ich denn eure Vorschläge einstellen?

Rechtsklick auf den freigegebenen Ordner -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung ...

Danach die Überwachungsrichtlinie (lokal oder über OU) nicht vergessen.

bzw. ist Filesystemlogging nicht die von mir angesprochenen Logs?

Share this post


Link to post
Rechtsklick auf den freigegebenen Ordner -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung ...

Danach die Überwachungsrichtlinie (lokal oder über OU) nicht vergessen.

 

 

danke! aber wie genau das haben wir schon, zumindest ersteres. Mit der Policy bin ich mir nicht sicher. Wie genau soll diese denn heissen?

 

Computer Configuration/Windows Settings/Local Policies/Auti Policy/....?

 

Und dann besteht halt noch die Frage, in welche Logs wird das dann geschrieben?

Share this post


Link to post
aber wie genau das haben wir schon, zumindest ersteres. Mit der Policy bin ich mir nicht sicher.

Wenn Du nur diesen Server überwachen willst, stellst Du die Überwachung am einfachsten in der lokalen Richtline ein:

Start -> Ausführen -> gpedit.msc

Dort gehst Du unter

Computerkonfig -> Windows-Einst. -> Sicherheitseinstellungen -> lok. Richtlinien -> Überwachungsrichtlinien -> Objektzugriffsversuche überwachen

Jetzt musst Du entscheiden, ob Du auch die missglückten (fehlgeschlagen) Löschversuche oder nur die Gelungenen sehen willst.

Und dann besteht halt noch die Frage, in welche Logs wird das dann geschrieben?

Ereignisanzeige -> Sicherheit

Share this post


Link to post
Wenn Du nur diesen Server überwachen willst, stellst Du die Überwachung am einfachsten in der lokalen Richtline ein:

Start -> Ausführen -> gpedit.msc

Dort gehst Du unter

Computerkonfig -> Windows-Einst. -> Sicherheitseinstellungen -> lok. Richtlinien -> Überwachungsrichtlinien -> Objektzugriffsversuche überwachen

Jetzt musst Du entscheiden, ob Du auch die missglückten (fehlgeschlagen) Löschversuche oder nur die Gelungenen sehen willst.

 

Ereignisanzeige -> Sicherheit

 

Ok, haben wir alles schon so. Aber in der Ereignisanzeige steht nix dolles, bzw. nicht alles. Ich habe vorhin selber auf dem Share ein paar Dateien erstellt und später wieder gelöscht, steht nirgends. :(

 

Kann es damit zusammenhängen das es DFS ist?

Share this post


Link to post

Schau doch mal mit rsop.msc nach, ob die Richtlinie wirklich aktiv ist oder evtl. von einer Anderen 'überschrieben' wurde.

Beim DFS müsste m.E. die Überwachung auf allen Servern, welche die Freigabe halten, aktiviert werden. Bin allerdings ein DFS-Noob und vermute dies nur mal so ...

Share this post


Link to post

Außerdem: Wie sieht denn die SACL (Audit-Einstellungen) aus? Welche Art Dateizugriff (Löschen, Erstellen, Lesen, Schreiben etc.) wird denn für welche Konten auditiert?

 

Christoph

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...