Ereignisanzeige - Dateizugriff protokollieren - Filter erstellen - exportieren ...

maxschaf · 29. August 2009

Hallo

wir betreiben einen Windows Server 2008 in einer Workgroup als Dateiserver und möchten jegliche Dateizugriffe protokollieren um etwaige Fehler lokalisieren zu können.

Diese Protokolle sollten neben Uhrzeit, Rechner, Benutzer auch die Art des Zugriffes enthalten (Auslesen von Dateien, Erstellen von Dateien, Löschen von Dateien).

Löse das bis jetzt über die eigene NTFS Überwachung, wo alle Zugriffe dann in der Ereignisanzeige-Sicherheit protokolliert werden. Mein Problem ist jetzt, dass das ziemlich unübersichtlich wird. Ich experimentiere jetzt schon einige Zeit mit den Filtern, schaffe es aber nicht eine übersichtliche Ansicht zu erstellen.

- Generelle Frage: Wie macht ihr das?

- Erstelle eigene XML Filter: Wie kann ich das Event Data "AccessList" mit dessen Daten, die mit "%%" + 4stelligeZahl dargestellt werden, abfragen?

Mein Problem:

<QueryList>
 <Query Id="0" Path="Security">
   <Select Path="Security">*[EventData[Data[@Name="AccessList"] and (Data="%%1537")]]</Select>
 </Query>
</QueryList>

Ich möchte alle Ereignisse listen, die im Log unter "AccessList" den Wert "%%1537" (DELETE) stehen haben. In dieser Form funktioniert das aber nicht, da er mir das "%%1537" nicht frisst. Ich vermute, dass es an den %% liegt.

Wie formuliert man diese Abfrage richtig in XPath Event Viewer - Wikipedia, the free encyclopedia ?

So sieht ein beispielhafter LOG aus, der mir angezeigt werden soll mit der obigen Abfrage:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> 
 <EventID>4663</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12800</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2009-08-28T20:56:13.122Z" /> 
 <EventRecordID>53144</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="4" ThreadID="80" /> 
 <Channel>Security</Channel> 
 <Computer>WIN-LRZHQKRRMKW</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-21-1151906514-266493343-1065388542-1000</Data> 
 <Data Name="SubjectUserName">test</Data> 
 <Data Name="SubjectDomainName">WIN-LRZHQKRRMKW</Data> 
 <Data Name="SubjectLogonId">0x264f08</Data> 
 <Data Name="ObjectServer">Security</Data> 
 <Data Name="ObjectType">File</Data> 
 <Data Name="ObjectName">C:\ftp\secops.exe</Data> 
 <Data Name="HandleId">0x8f8</Data> 
 <Data Name="AccessList">%%1537</Data> 
 <Data Name="AccessMask">0x10000</Data> 
 <Data Name="ProcessId">0x4</Data> 
 <Data Name="ProcessName" /> 
 </EventData>
 </Event>

- Wie kann ich z.B. den Security Log oder benutzerdefinierte Ansichten (womit ich das schön vorsortieren könnte) automatisch zu bestimmter Uhrzeit als .csv exportieren, um das ganze mit Excel abzufragen bzw. in der Ereignisanzeige nicht anzeigbare Reiter/Spalten wie "SubjectUserName" oder "ObjectName" in Excel darstellen zu können?

Danke für eure Hilfe!

olc · 30. August 2009

Hi maxschaf,

Du kannst das Vorhaben mit diversen Scriptsprachen ermöglichen, bestenfalls mit der PowerShell. Zusätzlich gibt es auch Tools wie PsLogList , die die Aktionen ermöglichen.

Eine ebenfalls recht komfortable (und im Prinzip für Dein Vorhaben sicherlich sehr, sehr gut geeignete) Möglichkeit ist das Wevtutil . Dort kannst Du neben dem reinen Exportieren / Archivieren auch diverse Filter einsetzen.

Viele Grüße

olc