Grobiii 10 Geschrieben 19. Juni 2007 Melden Geschrieben 19. Juni 2007 Hallo, also ich hab immer wieder das Problem das auf unserem Netzshare Folder verschwinden. Ansich nicht das Ding, da tägliche Backups vorhanden sind. Dennoch interessiert mich natürlich wer das immer war. Der Server (MS Windows 2000) hat ja seine Logs dafür unter /WINNT/SYSTEM32/LOGFILES/... Nur wie seh ich denn da was gelöscht wurde? danke
nobex 10 Geschrieben 19. Juni 2007 Melden Geschrieben 19. Juni 2007 Du kannst in den Sicherheitseinstellungen von Dateien und Ordnern unter 'Überwachung' einstellen, welche Aktivitäten überwacht werden sollen. Wenn Du dann noch per Richtlinie die Objektüberwachung aktivierst, kannst Du in der Ereignisanzeige des entspr. Servers die überwachten Vorgänge auslesen. Btw, '/WINNT/SYSTEM32/LOGFILES/...' hat nichts mit der Objektüberwachung zu tun.
nerd 28 Geschrieben 19. Juni 2007 Melden Geschrieben 19. Juni 2007 Hi, dafür müßtest du das Filesystemlogging einschalten. Bei einem stark benutzen Server ist das allerdings nicht zu empfehlen, da das log sehr schnell sehr groß wird... ;-) Zudem kommt bei solchen Überwachungen immer auch noch das Thema Betriebsrat etc. hinzu. Gruß [edit]mist nobex war schneller[/edit]
Grobiii 10 Geschrieben 19. Juni 2007 Autor Melden Geschrieben 19. Juni 2007 Danke euch erstmal Aber wo kann ich denn eure Vorschläge einstellen? bzw. ist Filesystemlogging nicht die von mir angesprochenen Logs?
Hansi 10 Geschrieben 19. Juni 2007 Melden Geschrieben 19. Juni 2007 "auf unserem Netzshare Folder verschwinden"..ich würde es erstmal unterbinden! Berechtigungen etc. Denke es ist einfacher das Problem zubeheben anstatt es auszuwerten:D
nobex 10 Geschrieben 19. Juni 2007 Melden Geschrieben 19. Juni 2007 Aber wo kann ich denn eure Vorschläge einstellen? Rechtsklick auf den freigegebenen Ordner -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung ... Danach die Überwachungsrichtlinie (lokal oder über OU) nicht vergessen. bzw. ist Filesystemlogging nicht die von mir angesprochenen Logs? Nö
Grobiii 10 Geschrieben 19. Juni 2007 Autor Melden Geschrieben 19. Juni 2007 Rechtsklick auf den freigegebenen Ordner -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung ...Danach die Überwachungsrichtlinie (lokal oder über OU) nicht vergessen. Nö danke! aber wie genau das haben wir schon, zumindest ersteres. Mit der Policy bin ich mir nicht sicher. Wie genau soll diese denn heissen? Computer Configuration/Windows Settings/Local Policies/Auti Policy/....? Und dann besteht halt noch die Frage, in welche Logs wird das dann geschrieben?
nobex 10 Geschrieben 19. Juni 2007 Melden Geschrieben 19. Juni 2007 aber wie genau das haben wir schon, zumindest ersteres. Mit der Policy bin ich mir nicht sicher. Wenn Du nur diesen Server überwachen willst, stellst Du die Überwachung am einfachsten in der lokalen Richtline ein: Start -> Ausführen -> gpedit.msc Dort gehst Du unter Computerkonfig -> Windows-Einst. -> Sicherheitseinstellungen -> lok. Richtlinien -> Überwachungsrichtlinien -> Objektzugriffsversuche überwachen Jetzt musst Du entscheiden, ob Du auch die missglückten (fehlgeschlagen) Löschversuche oder nur die Gelungenen sehen willst. Und dann besteht halt noch die Frage, in welche Logs wird das dann geschrieben? Ereignisanzeige -> Sicherheit
nobex 10 Geschrieben 19. Juni 2007 Melden Geschrieben 19. Juni 2007 Hallo Johannes, [edit]mist nobex war schneller[/edit] Wir haben uns doch gut ergänzt :)
Grobiii 10 Geschrieben 19. Juni 2007 Autor Melden Geschrieben 19. Juni 2007 Wenn Du nur diesen Server überwachen willst, stellst Du die Überwachung am einfachsten in der lokalen Richtline ein:Start -> Ausführen -> gpedit.msc Dort gehst Du unter Computerkonfig -> Windows-Einst. -> Sicherheitseinstellungen -> lok. Richtlinien -> Überwachungsrichtlinien -> Objektzugriffsversuche überwachen Jetzt musst Du entscheiden, ob Du auch die missglückten (fehlgeschlagen) Löschversuche oder nur die Gelungenen sehen willst. Ereignisanzeige -> Sicherheit Ok, haben wir alles schon so. Aber in der Ereignisanzeige steht nix dolles, bzw. nicht alles. Ich habe vorhin selber auf dem Share ein paar Dateien erstellt und später wieder gelöscht, steht nirgends. :( Kann es damit zusammenhängen das es DFS ist?
nobex 10 Geschrieben 19. Juni 2007 Melden Geschrieben 19. Juni 2007 Schau doch mal mit rsop.msc nach, ob die Richtlinie wirklich aktiv ist oder evtl. von einer Anderen 'überschrieben' wurde. Beim DFS müsste m.E. die Überwachung auf allen Servern, welche die Freigabe halten, aktiviert werden. Bin allerdings ein DFS-Noob und vermute dies nur mal so ...
Christoph35 10 Geschrieben 19. Juni 2007 Melden Geschrieben 19. Juni 2007 Außerdem: Wie sieht denn die SACL (Audit-Einstellungen) aus? Welche Art Dateizugriff (Löschen, Erstellen, Lesen, Schreiben etc.) wird denn für welche Konten auditiert? Christoph
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden