13
Wenn auch 1 Ordern Auditing eingeschaltet ist im Filesystem. Wo finde ich die Logs hierzu ?
Hallo,
wie im Prinstcreen zu sehen, habe ich Auditing eingeschaltet.
Nun wurden Files gelöscht. Wo finde ich den Log hierzu ?
Gruss
Jonas
wie im Prinstcreen zu sehen, habe ich Auditing eingeschaltet.
Nun wurden Files gelöscht. Wo finde ich den Log hierzu ?
Gruss
Jonas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 479147
Url: https://administrator.de/contentid/479147
Printed on: April 28, 2024 at 11:04 o'clock
13 Comments
Latest comment
Im Security-Eventlog.
Man könnte es ja auch mal selbst nachschlagen, in der Zeit wie man so einen Beitrag schreibt hat man sowas schnell selbst gefunden!
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
Protokollierung gelöschter Dateien auf einem Fileserver
Man könnte es ja auch mal selbst nachschlagen, in der Zeit wie man so einen Beitrag schreibt hat man sowas schnell selbst gefunden!
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
Protokollierung gelöschter Dateien auf einem Fileserver
Oder einfach mal nachdenken, wo man denn die Logs eines Windows-Systems so normalerweise findet. 
Ooouh, das wird nicht einfach mit dem Namen "Merkel" 
, das könnte dann >14 Jahre dauern.
, das könnte dann >14 Jahre dauern.
Hallo,
es kamen eben mit dem Punkt "Audit Object Access" keine Logs im Eventvwr.
Nun habe ich laut der Anleitung
https://www.lepide.com/how-to/enable-file-folder-access-auditing-windows ...
nioch in der Lokalen Policy "Enable
Nun kommt aber im Security Log nur:
Der Filename ist nicht sichtbar.
es kamen eben mit dem Punkt "Audit Object Access" keine Logs im Eventvwr.
Nun habe ich laut der Anleitung
https://www.lepide.com/how-to/enable-file-folder-access-auditing-windows ...
nioch in der Lokalen Policy "Enable
Nun kommt aber im Security Log nur:
SubjectUserSid S-1-5-21-3822937950-2270363862-131729381-5128
SubjectUserName admin.h
SubjectDomainName PLACE
SubjectLogonId 0x6c46a9b56
ObjectServer Security
ObjectType File
ObjectName D:\Scanning\Done
HandleId 0xb0c
AccessList %%4416
AccessMask 0x1
ProcessId 0xd484
ProcessName C:\Windows\explorer.exe
ResourceAttributes S:AI Der Filename ist nicht sichtbar.
Falsches Event siehe Links oben, das was du uns hier zeigst ist nur der Lesezugriff auf das Verzeichnis der geloggt wird, sagt ja schon die Access Mask, 0x1 ist Read/List und da kann es keinen dazugehörigen Dateinamen geben, hier ist der ObjectName das Verzeichnis auf welches Lesezugriff angefordert wird!.
Btw. wenn man nur das Dateisystem überwachen möchte und nicht noch andere Object-Events besser die Richtlinie gleich feiner definieren:
Btw. wenn man nur das Dateisystem überwachen möchte und nicht noch andere Object-Events besser die Richtlinie gleich feiner definieren:
Hallo,
danke. Ja habe das hier nun auch gefunden.
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Habe das nun mal bei Erweitert Dateisystem überwachen eingestellt und das andere Objectzugriffe in der Lokalen Policy wieder abgeschaltet.
Nun geht im moment nichts. Habe Auditing auf Failure gestellt. Test es noch.
Gruss
Jonas
danke. Ja habe das hier nun auch gefunden.
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Habe das nun mal bei Erweitert Dateisystem überwachen eingestellt und das andere Objectzugriffe in der Lokalen Policy wieder abgeschaltet.
Nun geht im moment nichts. Habe Auditing auf Failure gestellt. Test es noch.
Gruss
Jonas
Ab und zu neu starten hilft, gerade bei deinen "Trial&Error" Sessions hier.
Dir sollte dann aber hoffentlich klar sein das das nur erfolglose Zugriffe loggt. Also wenn jemandem der Zugriff verweigert wird. Hat jemand das entsprechende Recht zum löschen/lesen/ändern whatever wird dies nicht vermerkt.
Bei mir sieht es nun so aus
Ihre Konfiguration erfordert die Auswahl zwischen Erfolg und Fehler. Im ersten Fall werden nur Ereignisse aufgezeichnet, die der Benutzer aufgrund ausreichender Berechtigungen durchführen konnte, während die zweite Option nur dann greift, wenn die Aktion gescheitert ist.
Habe Success gewählt. Weil er muss Berechtigung "Löschen" haben. ( Ereignisse aufgezeichnet, die der Benutzer aufgrund ausreichender Berechtigungen durchführen konnte,)
Auf dem Folder ist nun so:
Gpupdate durchgeführt.
Nun lege ich eine Datei rein, und lösche diese. Dann habe ich nichts dazu.
Nur wieder sowas:
Laut dem hier , wäre 1537 aber löschen !
https://social.technet.microsoft.com/Forums/windows/en-US/0ec39516-5dcc- ...
Gruss
Jonas
Ihre Konfiguration erfordert die Auswahl zwischen Erfolg und Fehler. Im ersten Fall werden nur Ereignisse aufgezeichnet, die der Benutzer aufgrund ausreichender Berechtigungen durchführen konnte, während die zweite Option nur dann greift, wenn die Aktion gescheitert ist.
Habe Success gewählt. Weil er muss Berechtigung "Löschen" haben. ( Ereignisse aufgezeichnet, die der Benutzer aufgrund ausreichender Berechtigungen durchführen konnte,)
Auf dem Folder ist nun so:
Gpupdate durchgeführt.
Nun lege ich eine Datei rein, und lösche diese. Dann habe ich nichts dazu.
Nur wieder sowas:
SubjectUserSid S-1-5-21-3822937950-2270363862-131729381-5128
SubjectUserName admin.h
SubjectDomainName PLACE
SubjectLogonId 0x2b3509c0b7
ObjectServer Security
ObjectType File
ObjectName D:\Scanning\Done\test.txt
HandleId 0x0
TransactionId {00000000-0000-0000-0000-000000000000}
AccessList %%1537 %%4423
AccessMask 0x10080
PrivilegeList -
ProcessId 0x4 Laut dem hier , wäre 1537 aber löschen !
https://social.technet.microsoft.com/Forums/windows/en-US/0ec39516-5dcc- ...
Gruss
Jonas
ObjectName D:\Scanning\Done\test.txt
Was willst du eigentlich? Das was du suchst, der Pfad steht doch da!AccessMask 0x10080
Die Access-Mask bedeutet:- Dateiattribute lesen
- Löschen
Is es heute schon wieder so heiß??
Laut dem hier , wäre 1537 aber löschen !
Nein, die Access Mask ist entscheidend. Anhand der EventID lässt sich schon lang nicht mehr unterscheiden um was für einen Zugriff es sich handelt. Hättest du meinen Link hier oben aus dem Forum zumindest mal durchgelesen wäre dir das klar.
Hallo,
ja es ist so gut. Ich muss ja nun nur schauen wo 1547 steht. Dann ist von dem User gelöscht etc..
Gruss
Jonas
ja es ist so gut. Ich muss ja nun nur schauen wo 1547 steht. Dann ist von dem User gelöscht etc..
Gruss
Jonas
Zitat von @merkel:
ja es ist so gut. Ich muss ja nun nur schauen wo 1547 steht. Dann ist von dem User gelöscht etc..
Die Access Mask ist endgültig entscheidend und anhand der kann man per Bit-Operation einfach feststellen was Sache ist, hier schon fix und fertig, -band 0x1000:ja es ist so gut. Ich muss ja nun nur schauen wo 1547 steht. Dann ist von dem User gelöscht etc..
Protokollierung gelöschter Dateien auf einem Fileserver
Danke. Habe nun noch die Custom View erstellt. Die mir das schön filtert.
Gruss
Jonas
Gruss
Jonas
