winfried-hh
Goto Top

Überwachungsrichtlinie

Hallo in die Runde!

Bei uns sind in letzter Zeit aus ungeklären Gründen Schülerordner verschwunden. Um den Grund herauszufinden, habe ich auf unserem DomänenController (zugleich Fileserver) jetzt eine Überwachungsrichtlinie eingerichtet, die Löschvorgänge protokollieren soll. Das tut sie auch, aber:

  1. werden leider auch andere Dateioperationen gelöscht, obwohl ich gemäß dieser Anleitung unter "Zugriff" nur "Löschen" sowie "Unterverzeichnisse und Dateien löschen" ausgewählt habe. Das überschwemmt fast das EventLog.
  2. werden auch "unechte" Löschvorgänge protokolliert. Windows (oder NTFS) sieht z.B. ein Umbennenen einer Datei als zwei Vorgänge, nämlich als Löschen der alten und Schreiben der neuen Datei. Das macht es später schwer, die echten Löschvorgänge herauszufiltern, da sie die gleiche Ereignis-ID haben.

Mir wäre es am liebsten, wenn nur dann ein Ereignisprotokolleintrag erzeugt wird, wenn im Verzeichnis d:\benutzerdaten\schüler ein Unterordner gelöscht wird. Kann ich das umsetzen, und wenn ja, wie?


Schöne Grüße von der Elbe!
Winfried

Content-Key: 368694

Url: https://administrator.de/contentid/368694

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: Tektronix
Tektronix 21.03.2018 um 01:16:03 Uhr
Goto Top
Hallo,
hier wird das erläutert.
Überwachung auf Ordner aktivieren
Mitglied: colinardo
colinardo 22.03.2018 aktualisiert um 10:30:41 Uhr
Goto Top
Servus Winfried.
Zitat von @Winfried-HH:
  1. werden leider auch andere Dateioperationen gelöscht, obwohl ich gemäß dieser Anleitung unter "Zugriff" nur "Löschen" sowie "Unterverzeichnisse und Dateien löschen" ausgewählt habe.
Das ist ja auch genau falsch, du musst hier die Propagation-Flags nicht auf Dateien setzen sondern nur auf Ordner und Unterordner keine Dateien!
Und dann an folgende Anleitung zum Ausfiltern halten

Protokollierung gelöschter Dateien auf einem Fileserver
Dann klappt's auch mit dem Nachbarn face-smile.

Grüße Uwe
Mitglied: Winfried-HH
Winfried-HH 23.03.2018 um 05:28:08 Uhr
Goto Top
Zitat von @colinardo:

Das ist ja auch genau falsch, du musst hier die Propagation-Flags nicht auf Dateien setzen sondern nur auf Ordner und Unterordner keine Dateien!

Das ist mir dann auch schon aufgefallen face-smile


Und dann an folgende Anleitung zum Ausfiltern halten

Das verhindert aber auch nicht, dass mir z.B. das Umbenennen eines Ordners als Löschen angezeigt wird, weil NTFS-technisch das Verzeichnis mit dem alten Namen gelöscht wird, oder?
Mitglied: colinardo
colinardo 23.03.2018 aktualisiert um 07:00:33 Uhr
Goto Top
Zitat von @Winfried-HH:

Das verhindert aber auch nicht, dass mir z.B. das Umbenennen eines Ordners als Löschen angezeigt wird, weil NTFS-technisch das Verzeichnis mit dem alten Namen gelöscht wird, oder?
Richtig, aber so gesehen trägt dann das Umbenennen auch einen Teil zur Verwirrung bei wenn ein Ordner nicht mehr so heißt wie früher.
Also lieber einen Eintrag mehr als zu wenig. Man greift ja auch nur wirklich drauf zurück wenn mal was weg ist. Man sollte ja primär die Rechte der Ordner richtig setzen und nicht mit dem Log hinterherräumen.
Zusätzliche Schattenkopien und Backups tragen ebenfalls zum Sicherungskonzept mit bei.

Schau dir auch einmal die File Server Ressource Manager Rolle an, mit der lassen sich solche und noch viel mehr Szenarien gezielt automatisieren.
Mitglied: Winfried-HH
Winfried-HH 23.03.2018 um 07:08:08 Uhr
Goto Top
Zitat von @colinardo:

Also lieber einen Eintrag mehr als zu wenig. Man greift ja auch nur wirklich drauf zurück wenn mal was weg ist. Man sollte ja primär die Rechte der Ordner richtig setzen und nicht mit dem Log hinterherräumen.

Stimmt, aber wir haben keine Ahnung, warum ab und zu ganze Schülerordner verschwinden. Eigentlich haben eben nur der jeweilige Benutzer, die Lehrer und die Admins entsprechende Rechte - oder eben der allmächtige "System". Das Loggen soll praktisch helfen, den Grund zu finden.

Zusätzliche Schattenkopien und Backups tragen ebenfalls zum Konzept mit bei.

Leider merken die Kids oft erst nach einem Monat, dass sie sich nicht mehr anmelden können. Im Grundschulbereich wird ja nicht jede Woche am PC gearbeitet. Und dann sind die Schattenkopien und Backups schon überschrieben. Klar könnte man ein aufwendigeres Backupkonzept fahren, aber so wichtig sind die Daten bei den Kleinen dann auch meistens nicht. Am Standort der "Großen" läuft sowieso einiges anders.
Mitglied: colinardo
colinardo 23.03.2018 aktualisiert um 07:20:04 Uhr
Goto Top
Das Loggen soll praktisch helfen, den Grund zu finden.
Das macht es ja auch, ob da nun ein paar mehr Einträge drin sind die Umbenennen waren, spielt ja keine Rolle wenn man gezielt nach Ordnern sucht. Da hilft dir dann auch das Powershell-Skript zum gezieltem Suchen in den Ergebnissen bzw. den Pfaden des Logs, da brauchst du nicht "manuell" in den Logs suchen, das wäre ja Zeitverschwendung hoch drei.