Olix 10 Geschrieben 25. Februar 2004 Melden Teilen Geschrieben 25. Februar 2004 Hallo, wir möchten sehen, welcher Benutzer der Domäne wann was gelöscht hat. Ist dies mit Richtlinien möglich, oder benötige ich dazu ein entsprechenden Syslog Dienst? Server: Win2000+2003 Danke und Gruß Olix Zitieren Link zu diesem Kommentar
xarax 10 Geschrieben 25. Februar 2004 Melden Teilen Geschrieben 25. Februar 2004 Hallo Olix, du kannst auf jedem laufwerk oder Directory in den erweiterten Sicherheitseinstellungen die Überwachung für bestimmte Gruppen oder Benutzer aktivieren und dann angeben welche Aktionen überwacht werden sollen. Zusätzlich musst du in der Lokalen Sicherheitsrichtlinie die Überwachungsrichtlinie für erfolgreiche Objektzugriffe aktivieren. Es entstehen dabei aber sehr viele Logeinträge, deshalb solltest du die Kapazität des Sicherheits-Eventlogs unbedingt vergrößern, denn sonst werden die Ereignisse sehr schnell wieder überschrieben und der Zeitraum der Nachverfolgung ist sehr kurz. Gruß Martin Zitieren Link zu diesem Kommentar
Olix 10 Geschrieben 25. Februar 2004 Autor Melden Teilen Geschrieben 25. Februar 2004 Hallo Martin Danke für die Info, iss ja wirklich easy! Ich wollte es per Gruppenrichtlinie steuern, da waren die Aktionen aber nicht explizit anzuwählen. Wie hoch sollte man denn die Größe des Eventlogs einstellen? Kommt es zu Performanceeinbußen? Gruß Olix Zitieren Link zu diesem Kommentar
xarax 10 Geschrieben 25. Februar 2004 Melden Teilen Geschrieben 25. Februar 2004 Hi Olix, also ich stell die Logs immer auf 50MB, das gibt einem einen vernünftigen Auswertungszeitraum (ist sehr unterschiedlich, je nach Maschine), aber ich logge auch noch Anmeldungen, Richtlinienänderungen und Systemereignisse. Dann hängt das auch noch von der installierten Software ab. Wenn ein Exchange läuft können das schon eine ganze Menge an Daten sein. Leider bringen die Boardmittel kein vernünftiges Instrument zur Suche im Eventlog mit. Den Filter kannst du eigentlich vergessen, gerade wenn du nach gelöschten Dateien suchst oder besser EventLog-Inhalten bist du ziehmlich aufgeschmissen. Deshalb solltest du diese Menge an Daten auch nur loggen wenn du eine Möglichkeit zur Auswertung der Daten hast. GFI Languard bietet sich da an. Die Performanceeinbuße hängt auch von der Maschine ab, aber gerade bei Objektüberwachungen sollte man die Directory sorgfältig auswählen und auch nur loggen was gewünscht ist. Das spart Ressourcen und hält das Log halbwegs übersichtlich. Gruß Martin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.