reyeg 10 Geschrieben 24. Mai 2005 Melden Teilen Geschrieben 24. Mai 2005 Hallo Leute, ich möchte hier keinen Doppelpost machen, allerdings denke ich dass mit diesem Thread andere Leute angesprochen werden, bzw. die Problemstellung gegenüber meines alten Threads verändert hat -> ich habe ich das Problem (siehe Thread: Neuer Wurm oder Virus aktiv?) dass ich Dateien aus Homeshares verschiedener User gelöscht bekomme und ich nicht nachvollziehen kann, wer oder was die Dateien löscht. Ich habe mich mit dem Tool Filemon von Sysinternals befasst, doch leider läßt sich damit nicht feststellen welcher User was auf unserem Server macht, sondern es wird immer nur das aufgezeichnet was der User macht, der das Programm gestartet hat (also ich). Gibt es ein Tool was die Verzeichnisse und Dateien auf einem Server überwacht und mir sagen kann, dass User X am Tag Z die Datei Y gelöscht hat? Danke und Gruß Reyeg :) Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 24. Mai 2005 Melden Teilen Geschrieben 24. Mai 2005 Das Werkzeug, das Du suchst, ist in Active Directory eingebaut: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/b8664794-32e5-4f66-b3be-155f3f7379de.mspx Auf Deutsch sind das die Überwachungsrichtlinien in den Gruppenrichtlinien. Zitieren Link zu diesem Kommentar
Egli 10 Geschrieben 24. Mai 2005 Melden Teilen Geschrieben 24. Mai 2005 hallo, wenn mich nicht alles täuscht hattest du ein W2K-Server, da kannst du doch in den Eigenschaften der FP, Sicherheit, Erweitert auf der RK Überwachungmal prima z.B die Gruppe Domänenbenutzer o.Ä. überwachen. Da dann speziell das Löschen. Hatte ich glaub ich in dem anderen Thread schon mal geschrieben. Hatte das nicht hingehauen oder hast du das nicht versucht? Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 24. Mai 2005 Autor Melden Teilen Geschrieben 24. Mai 2005 @Egli, nochmal danke für den Hinweis, da bin ich dran, jedoch wurden in den Shares wo ich die Maßnahme getroffen habe noch nicht wieder gelöscht.... @dmetzger Danke für den Hinweis, ich bin am prüfen... :) Cu Reyeg :) EDIT: @dmetzger Hey, das ist genau das was ich brauche, nur wo wird das ganze protokoliert? In der Ereignisanzeige finde ich nichts..... steht da dann auch welcher User was gemacht hat? Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 24. Mai 2005 Autor Melden Teilen Geschrieben 24. Mai 2005 So, folgendes Problem habe ich nun.... Erstmal muss ich sagen dass es sich wunderbar einstellen läßt Dateien und/oder Verzeichnisse mit Windows-Mitteln überwachen zu lassen... ich dachte schon dass ich damit mein Problem lösen könnte, ABER da ich davon ausgehe, dass die Aktionen der überwachten Dateien in der Ereignisanzeige im Sicherheitsprotokoll abgelegt werden habe ich da reingeschaut und festgestellt, dass dort in der Sekunde (!!) ca. 100 Einträge geschrieben werden, da die Überwachungsrichtlinie aktiv ist und jede Aktion die auf dem Server getätigt wird aufgezeichnet wird. So ist es unmöglich nach einem bestimmten Eintrag zu suchen.... :( Läßt sich die Protokolierung irgendwie einschränken? Grüße Reyeg :) Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 24. Mai 2005 Melden Teilen Geschrieben 24. Mai 2005 Selbstverständlich: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/d9fea7ea-61e5-43b1-98cd-b02a09f10156.mspx Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 24. Mai 2005 Autor Melden Teilen Geschrieben 24. Mai 2005 Hi dmetzger, danke für den Link! :) Das Problem ist, dass wenn ich den Haken bei "Zum Überwachen erfolgreicher Versuche aktivieren Sie das Kontrollkästchen Erfolgreich." entferne, dass dann ja nichts mehr aufgezeichnet wird, oder? Ich müßte das irgendwie filtern oder einschränken können, da in der Sekunde ca. 100 Aktionen protokoliert werden..... Gruß Reyeg :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.