Frage ist gelöstMitlogen welcher User was, wann und wo gelöscht hat - Server 2008 Standard
20.06.2011
13:12:48 Uhr1293 Aufrufe
10 Antworten
13:12:48 Uhr
10 Antworten
Noch nicht bewertet
Es wurde eine große Menge an Daten gelöscht. Wie finde ich heraus wer das war?
Hallo zusammen,
wir haben einen Server 2008 Standard 64Bit im Einsatz.
Innerhalb der D-Platte haben wir ein Verzeichnis freigegeben auf dem AD-User Schreib und auch Löschrechte haben.
Mein Fehler =)
Ich konnte alles was gelöscht war recovern, es waren immerhin 30 GB.
Wie, mit welchen Tools finde ich heraus wer das war? Das muss doch im System irgendwo mitgeloged werden?
Und wenn nicht, welches ist das beste Tool, das sowas kann? Gerne auch kostenpflichtig.
Danke für Eure Antworten im Voraus...
Der
Vince
wir haben einen Server 2008 Standard 64Bit im Einsatz.
Innerhalb der D-Platte haben wir ein Verzeichnis freigegeben auf dem AD-User Schreib und auch Löschrechte haben.
Mein Fehler =)
Ich konnte alles was gelöscht war recovern, es waren immerhin 30 GB.
Wie, mit welchen Tools finde ich heraus wer das war? Das muss doch im System irgendwo mitgeloged werden?
Und wenn nicht, welches ist das beste Tool, das sowas kann? Gerne auch kostenpflichtig.
Danke für Eure Antworten im Voraus...
Der
Vince
H41mSh1C0R schreibt am 20.06.2011 um 13:32:53 Uhr
Stichwort: Überwachungsrichtlinie
http://technet.microsoft.com/de-de/librar ...
Liefert nachträglich natürlich keine Ergebnisse. =)
vg
http://technet.microsoft.com/de-de/librar ...
Liefert nachträglich natürlich keine Ergebnisse. =)
vg
joshivince schreibt am 21.06.2011 um 10:06:08 Uhr
Hallo zusammen und danke für Eure Antworten!
Ich habe das nun der Anleitung von H41mSh1CoR entsprechend eingerichtet:
Nun schaue ich in die Ereignisanzeige des Servers auf dem ich das eingerichtet habe:
Ich habe mich testweise mit einem User angemeldet, der in der Gruppe "Domänen-Benutzer" liegt.
Dann habe ich ein Dokument kopiert und wieder gelöscht.
In der Ereingnisanzeige sieht man, dass das nicht mitprotokolliert wurde.
Was könnte ich falsch gemacht haben?
Und @borste: Danke für deinen Hinweis!
Grüße vom
Vince
Ich habe das nun der Anleitung von H41mSh1CoR entsprechend eingerichtet:
Nun schaue ich in die Ereignisanzeige des Servers auf dem ich das eingerichtet habe:
Ich habe mich testweise mit einem User angemeldet, der in der Gruppe "Domänen-Benutzer" liegt.
Dann habe ich ein Dokument kopiert und wieder gelöscht.
In der Ereingnisanzeige sieht man, dass das nicht mitprotokolliert wurde.
Was könnte ich falsch gemacht haben?
Und @borste: Danke für deinen Hinweis!
Grüße vom
Vince
H41mSh1C0R schreibt am 21.06.2011 um 10:24:38 Uhr
In der Sicherheitsrichtlinie (secpol.msc) die Überwachungsrichtlinie entsprechend angepasst ->Überwachen von Objektzugriffen?
vg
vg
joshivince schreibt am 21.06.2011 um 11:22:27 Uhr
Moin, meinst du das?
Zur Info: Ich würde das jetzt auf dem Server ändern den es betrifft. Oder muss ich secpol.msc auf der AD ändern?
"Objektzugriffsversuche Überwachen" scheint für mich das einzig Sinnvolle. Ich habe den Hilfetext dazu nicht verstanden, aber werden da dann auch LÖSCHversuche mitgeschrieben?
Grüße
Zur Info: Ich würde das jetzt auf dem Server ändern den es betrifft. Oder muss ich secpol.msc auf der AD ändern?
"Objektzugriffsversuche Überwachen" scheint für mich das einzig Sinnvolle. Ich habe den Hilfetext dazu nicht verstanden, aber werden da dann auch LÖSCHversuche mitgeschrieben?
Grüße
joshivince schreibt am 22.06.2011 um 12:15:26 Uhr
Kann man mir bitte helfen... ich bin servertechnisch ziemlich unbedarft.
Ist obiger Screenshot das, was H41m... mich gefragt hat?
Vielen Dank für Antworten und Hilfe im Voraus.
Ist obiger Screenshot das, was H41m... mich gefragt hat?
Vielen Dank für Antworten und Hilfe im Voraus.
joshivince schreibt am 14.09.2011 um 16:17:07 Uhr
Hallo zusammen,
anbei ein Update:
Ich habe die Funktionalität nun hinbekommen. Alles so wie es sein soll.
FAST: Die Ereignisanzeigen, die mir ja auflisten wer was wann gelöscht hat... die sind irgendwie unvollständig.
Ich habe mich testweise mal per RDP auf einem Terminalserver angemeldet.
Habe eine Datei gelöscht und in die Ereignisanzeige geschaut.
Es wird mir zwar angezeigt, dass ich was gelöscht habe, aber nicht was und von wo. Gerade wo (also Welcher Ordner, welche Datei) ist mir aber so wichtig.
Meine Einstellungen:
Gibt es da noch irgendwelche Einstellungen die ich vergessen habe?
Und noch was. Im Zeitraum von 14:14 Uhr bis 16:14 Uhr, also 2 Stunden haben sich 550 Ereignisse angesammelt... (nur Löschereignisse!).
Was meint Ihr wie das in 2 Wochen oder 10 Monaten ausschaut?
Da stimmt doch was nicht...
anbei ein Update:
Ich habe die Funktionalität nun hinbekommen. Alles so wie es sein soll.
FAST: Die Ereignisanzeigen, die mir ja auflisten wer was wann gelöscht hat... die sind irgendwie unvollständig.
Ich habe mich testweise mal per RDP auf einem Terminalserver angemeldet.
Habe eine Datei gelöscht und in die Ereignisanzeige geschaut.
Es wird mir zwar angezeigt, dass ich was gelöscht habe, aber nicht was und von wo. Gerade wo (also Welcher Ordner, welche Datei) ist mir aber so wichtig.
Meine Einstellungen:
Gibt es da noch irgendwelche Einstellungen die ich vergessen habe?
Und noch was. Im Zeitraum von 14:14 Uhr bis 16:14 Uhr, also 2 Stunden haben sich 550 Ereignisse angesammelt... (nur Löschereignisse!).
Was meint Ihr wie das in 2 Wochen oder 10 Monaten ausschaut?
Da stimmt doch was nicht...
joshivince schreibt am 14.09.2011 um 16:32:57 Uhr
Mal nur so am Rande und nebenbei:
Ich hab hier nun einen Kommentar hinterlassen. Wenn ich auf "Neue Beiträge" (http://www.administrator.de/articles) klicke... wird mein Thread nicht auf der Übersicht angezeigt.
Wie bekommen die User nun mit, dass es einen neuen Kommentar in diesem Thread gibt? Das is ja sonst ziemlich sinnlos...
LIEST MICH JEMAND? Hallloooooooooooooooooooo xD^^
Vince
Ich hab hier nun einen Kommentar hinterlassen. Wenn ich auf "Neue Beiträge" (http://www.administrator.de/articles) klicke... wird mein Thread nicht auf der Übersicht angezeigt.
Wie bekommen die User nun mit, dass es einen neuen Kommentar in diesem Thread gibt? Das is ja sonst ziemlich sinnlos...
LIEST MICH JEMAND? Hallloooooooooooooooooooo xD^^
Vince
joshivince schreibt am 14.09.2011 um 16:44:15 Uhr
Übrigens, falls es hilft: Wenn ich auf dem Datenserver (Ist NICHT die AD = anderer Server!) in secpol.msc die Lokale Richtlinien\Überwachungsrichtlinien >> Objektzugriffsversuche überwachen eigestellt habe reicht das aus, oder? Also ich muss das NICHT auch noch auf der AD einstellen?
Anders gefragt: Der Server der Überwacht werden soll, bzw. der Ordner der sich auf dem Server befindet, der muss in den secpol.msc auch eingestellt sein, man braucht das nicht auf der AD einzsutellen, right?
Anders gefragt: Der Server der Überwacht werden soll, bzw. der Ordner der sich auf dem Server befindet, der muss in den secpol.msc auch eingestellt sein, man braucht das nicht auf der AD einzsutellen, right?
joshivince schreibt am 14.09.2011 um 17:07:29 Uhr
Ich habs hinbekommen.
Ich Gunde bin ich selbst schuld. Ich habe innerhalb der "Benutzerdefinierten Ansichten" nach Ereignis-ID 4660 gefiltert. Das ist das Event für "Ein Objekt wurde gelöscht".
Die dazugehöroge Info-ID, um welche Datei es sich handelt, lautet 4663. Diese schnell dem Filter hinzugefügt und schwupps, habe ich auch die Anzeige dafür, um welche Datei / Ordner es sich handelt.
Schulterklopf xD
Danke und GELÖST...
Ich Gunde bin ich selbst schuld. Ich habe innerhalb der "Benutzerdefinierten Ansichten" nach Ereignis-ID 4660 gefiltert. Das ist das Event für "Ein Objekt wurde gelöscht".
Die dazugehöroge Info-ID, um welche Datei es sich handelt, lautet 4663. Diese schnell dem Filter hinzugefügt und schwupps, habe ich auch die Anzeige dafür, um welche Datei / Ordner es sich handelt.
Schulterklopf xD
Danke und GELÖST...
