voda81
Jul 23, 2014
view31052
view7
0
Goto Top

Protokollierung gelöschter Dateien auf einem Fileserver

GermanQuestionWindows ServerMicrosoft
Hallo Zusammen,

ich habe mal eine Frage. Es sind uns auf einem unserer DFS-Fileserver Daten verloren gegangen, die absichtlich nicht gesichert wurden, da es sich um eine Freigabe für einen reinen Datenaustausch gehandelt hat. Da es inzwischen sehr viel an Daten waren, würde es uns natürlich schon interessieren, wer wann wie welche Daten gelöscht hat.

Jetzt gibt es hier ja verschiedene Möglichkeiten. Was gibt es denn für praktikable Möglichkeiten, die mir z.B. spezielle Ordner "überwachen", ohne dass ich z.B. zusätzliche Hardware (bzgl. Plattenplatz) benötige?

Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen, wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer Zeit das Log explodieren lassen.

Uns geht es also eigentlich nur darum, gelöschte Dateien in speziellen Ordner über einen Zeitraum von 2-3 Tagen protokollieren zu können.

Was gibt es hier für Möglichkeiten (Windows intern / externe Lösungen / etc.) & welche Vorgehensweisen sind zu empfehlen? Würde mich über ein kurzes Feedback sehr freuen.


Besten Dank vorab & schöne Grüße,
Volker
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 244448

Url: https://administrator.de/contentid/244448

Printed on: April 20, 2024 at 05:04 o'clock

7 Comments
Latest comment
Goto Top
Member: falscher-sperrstatus
falscher-sperrstatus Jul 23, 2014 at 11:24:37 (UTC)
Goto Top
Hallo Volker,

es scheint ja nun nicht so zu sein, dass die Daten komplett unwichtig sind. Ein nicht so kritisches Backup wäre daher anzuraten.

Um was für Server handelt es sich denn?

Grüße
Member: colinardo
colinardo Jul 23, 2014 updated at 12:09:33 (UTC)
Goto Top
Moin Volker,
Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen, wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer Zeit das Log explodieren lassen.
Die relevanten Events sich mit einem entsprechenden XPath-Filter einfach ausfiltern:
Automatische Eventlogauswertung mit Filterung

Diesen XPath Filter kann man entweder mit einem Powershell-Script verwenden welches dann die entsprechenden Events ausfiltert. Oder man baut diesen in eine benutzerdefinierte Filterung im Eventviewer ein.

Folgendes Powershell-Script filtert z.B. Löschaktionen der User aus dem Eventlog und zeigt sie in einer Liste an:
$log = @()
$events = Get-WinEvent -Logname Security -FilterXPath 'Event[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]'  
foreach($event in $events){
    $object = [regex]::Match($event.Message,'Objektname:\s*(.*)').Groups[1].Value  
    $account = [regex]::Match($event.Message,'Kontoname:\s*(.*)').Groups[1].Value  
    $log += new-object PSObject -Property @{"User"=$account;"Objekt"=$object;"Datum"=$event.TimeCreated}  
}
$log | select User,Objekt,Datum

Ein Eventlog-Filter für diese Einträge könnte so aussehen:
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]</Select>  
  </Query>
</QueryList>
Grüße Uwe
Member: VoDa81
VoDa81 Jul 23, 2014 at 12:09:01 (UTC)
Goto Top
Hi Uwe,

Dank Dir recht herzlich. Das geht aber schon ans Eingemachte. Muss mich da mal was reinfuchsen, gucken ob das hinhaut face-wink

Gibt es dazu auch gewisse Alternativen oder ist dies die mit am einfachsten/besten?

Danke nochmals !!!


Beste Grüße,
Volker
Member: colinardo
colinardo Jul 23, 2014 updated at 12:21:56 (UTC)
Goto Top
Gibt es dazu auch gewisse Alternativen oder ist dies die mit am einfachsten/besten?
Objektzugriffsversuche protokollieren lassen und von Windows in einer benutzerdefinierten Eventlog-Ansicht ausfiltern lassen (Filter siehe oben). Kostenlos und effektiv face-smile

92842220cfc65f463b77f1bb6a382b09

383ee2994960c2e167b39c4c20d6289c

9b7f7180c018e51f53777968497eb3b6

0f637bc3058b64f6ba66ecb9115b5212

Voila face-smile
Member: VoDa81
VoDa81 Jul 23, 2014 at 12:52:20 (UTC)
Goto Top
DANKE face-smile
Member: VoDa81
VoDa81 Jul 23, 2014 at 12:55:59 (UTC)
Goto Top
Sorry, Windows 2008 R2 Standard! Komplett unwichtig sind Daten nie, aber generell könnte das für andere Vorfälle ja später interessant werden!
Member: departure69
departure69 Jul 23, 2014 at 13:46:40 (UTC)
Goto Top
Zitat von @VoDa81:

Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche
überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen,
wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer
Zeit das Log explodieren lassen.


Vor der Log-Explosion schützt ein eigener Syslog-Server.

Hier gibt's ein paar Beispiele:

https://www.google.de/search?q=syslog+server&rls=com.microsoft:de-DE ...





Besten Dank vorab & schöne Grüße,
Volker


Viele Grüße

von

departure69
GermanQuestionWindows ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment