10
Überwachung auf dem Fileserver
Hallo,
wir haben das Problem, dass auf unserem Fileserver immer mal wieder in verschiedenen Freigaben Dateien kopiert werden, die dort nicht hingehören und wir sie immer wieder löschen. Doch die Dateien tauchen immer wieder nach einer Zeit auf.
Gibt es ein Tool, mit dem wir protokollieren könnten, woher die Dateien herkommen bzw. wer sie dort hin kopiert?
Habe mir mal FileMon angeschaut, dort wird zwar protokolliert, dass die Dateien wieder kopiert wurden, aber nicht, von welchem User bzw. von welchem Rechner (IP, Hostname oder so).
Hat jemand eine Tipp?
Danke und viele Grüße, Hansel
wir haben das Problem, dass auf unserem Fileserver immer mal wieder in verschiedenen Freigaben Dateien kopiert werden, die dort nicht hingehören und wir sie immer wieder löschen. Doch die Dateien tauchen immer wieder nach einer Zeit auf.
Gibt es ein Tool, mit dem wir protokollieren könnten, woher die Dateien herkommen bzw. wer sie dort hin kopiert?
Habe mir mal FileMon angeschaut, dort wird zwar protokolliert, dass die Dateien wieder kopiert wurden, aber nicht, von welchem User bzw. von welchem Rechner (IP, Hostname oder so).
Hat jemand eine Tipp?
Danke und viele Grüße, Hansel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 129652
Url: https://administrator.de/contentid/129652
Printed on: April 27, 2024 at 00:04 o'clock
10 Comments
Latest comment
von berechtigten Benutzern oder sind die Freigaben von allen nutzbar, also auch Anonymous?
Was für ein System wird denn eingesetzt? Gibt es bei dem Fileserver keine Logging Options?
Was für ein System wird denn eingesetzt? Gibt es bei dem Fileserver keine Logging Options?
Die Freigaben sind nur für authentisierten Nutzer zu benutzen, also kein Jeder oder Anonymous Zugriff.
Der Fileserver läuft unter Windows Server 2003 - welche Logging Options meinst Du?
Der Fileserver läuft unter Windows Server 2003 - welche Logging Options meinst Du?
Computerrichtlinie Überwachung aktivieren.
Danach das Verzeichnis auf dem Server - Eigenschaften - Überwachung - für jeden die Überwachung der Zugriffe einstellen so wie du es willst - ob nur ändern oder auch lesen oder löschen überwacht wird.
Die Ergebnisse findest Du dann in der Ereignisanzeige des Servers, wer wo wan wie zugegriffen hat.
Danach das Verzeichnis auf dem Server - Eigenschaften - Überwachung - für jeden die Überwachung der Zugriffe einstellen so wie du es willst - ob nur ändern oder auch lesen oder löschen überwacht wird.
Die Ergebnisse findest Du dann in der Ereignisanzeige des Servers, wer wo wan wie zugegriffen hat.
Das habe ich schon eingestellt, doch leider wird dann nicht ersichtlich von welcher IP oder Hostnamen der Zugriff stammte. Das wäre die Info, die mir am wichtigsten wäre.
Was wird denn überhaupt geloggt? Du kannst doch unschwer erkennen, welcher User zugreift. Oder hast Du nur die NTFS-Überwachung eingeschaltet und nicht (der nötige Schritt2) die Überwachung von Objektzugriffen unter secpol.msc - lokale Richtlinien - Überwachungsrichtlinie aktiviert?
Ich habe die Objektüberwachung in der local policy aktiviert und überwache in den NTFS Security Einstellungen das Erstellen von Dateien. Im Security Eventlog sehe ich dann z.B. wenn eine neue Datei dorthin kopiert wird. Im Logeintrag steht aber nur z.B. welche Datei das ist und welcher User diese Datei dort erstellt hat. Ich kann nicht sehen, woher die Datei stammt, also IP Adresse oder Hostname.
ich bin zwar nicht in reichweite um das mal auszutesten, aber mal geschaut was mit dem WITS(Windows Inspection Tool Set) alles so geloggt werden kann? Vielleicht ist ja da was direkt passendes dabei.
Bei WITS ist leider nichts dabei. Das Monitoren von Dateierstellung wird nicht angeboten, schade. Sonst noch Ideen?
und User reicht nicht? Habt ihr soviele User, die mit der gleichen Kennung arbeiten? Das sollte man möglichst gar nicht haben.
User sollte eigentlich reichen und wenn er es nicht war, dann sollte man schleunigst das Kennwort ändern =).