7
Datenflut bei aktivierter Objektzugriffüberwachung (W2K3)
Hallo,
bei einem Kunden sollen einige Verzeichnisse bzgl. der Zugriffe überwacht werden. Die rechtlichen Belange dazu sind geklärt. Nun habe ich das Problem, dass nach aktivierter Objektzugriffüberwachung auf einem W2K3 Server neben den gewünschten Informationen über Dateizugriffe auch massig Einträge von z.B. Exchange (store.exe), mmc.exe oder auch explorer.exe erscheinen. Und das ganze nahezu im Sekundentakt. Gibt es eine Möglichkeit, diese Einträge auszuklammern, und zwar nicht erst durch einen Filter bei der Logansicht, sondern so, dass diese erst gar nicht im Log erscheinen. Hab' gegoogelt und bislang keine brauchbaren Ideen gefunden.
Über Tips wäre ich sehr dankbar.
bei einem Kunden sollen einige Verzeichnisse bzgl. der Zugriffe überwacht werden. Die rechtlichen Belange dazu sind geklärt. Nun habe ich das Problem, dass nach aktivierter Objektzugriffüberwachung auf einem W2K3 Server neben den gewünschten Informationen über Dateizugriffe auch massig Einträge von z.B. Exchange (store.exe), mmc.exe oder auch explorer.exe erscheinen. Und das ganze nahezu im Sekundentakt. Gibt es eine Möglichkeit, diese Einträge auszuklammern, und zwar nicht erst durch einen Filter bei der Logansicht, sondern so, dass diese erst gar nicht im Log erscheinen. Hab' gegoogelt und bislang keine brauchbaren Ideen gefunden.
Über Tips wäre ich sehr dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138899
Url: https://administrator.de/contentid/138899
Printed on: April 23, 2024 at 17:04 o'clock
7 Comments
Latest comment
Moin.
Wie die Objektzugriffsüberwachung eingestellt ist, verschweigst Du. Wo also sollen Helfer ansetzen?
Wie die Objektzugriffsüberwachung eingestellt ist, verschweigst Du. Wo also sollen Helfer ansetzen?
Hallo,
ich habe die Objektzgriffsüberwachung per Richtlinie aktiviert und für einen Ordner Aktion "löschen" zur Überwachung ausgewählt. Mehr habe ich nicht gemacht. Ich leite aus Deiner Antwort aber ab, dass es weitere Einstellungsmöglichkeiten gibt, die ich offenbar nicht kenne.
ich habe die Objektzgriffsüberwachung per Richtlinie aktiviert und für einen Ordner Aktion "löschen" zur Überwachung ausgewählt. Mehr habe ich nicht gemacht. Ich leite aus Deiner Antwort aber ab, dass es weitere Einstellungsmöglichkeiten gibt, die ich offenbar nicht kenne.
Du kannst doch den Personenkreis einschränken - zur Zeit ist eventuell die Aktion löschen für "jeder" überwacht. Ändere auf die Benutzer/Gruppen, die in Frage kommen oder auf die Gruppe Domänenbenutzer.
Hallo,
danke für Deine Antwort. Aktuell habe ich das aber auch nur für einen Benutzer gemacht, um ein Feeling für die Datenmenge zu bekommen. Die Einträge zu der eigentlichen Fileüberwachung sind auch überschaubar; geflutet wird das Log überwiegend von store.exe einträgen.
danke für Deine Antwort. Aktuell habe ich das aber auch nur für einen Benutzer gemacht, um ein Feeling für die Datenmenge zu bekommen. Die Einträge zu der eigentlichen Fileüberwachung sind auch überschaubar; geflutet wird das Log überwiegend von store.exe einträgen.
Gut, dann gib an, ob die store.exe-Einträge auch Überwachungseinträge sind und wenn ja, was dabei überwacht wird.
Hallo,
ich habe mal exemplarisch zwei Eintrage gepostet. Diese werden - neben den eigentlichen Dateizugriffen - ebenfalls geloggt. Es wäre natürlich schön, wenn das loggen dieser Einträge abschaltbar wäre.
Objektzugriffsversuch:
Objektserver: Security
Handlekennung: 2572
Objekttyp: File
Prozesskennung: 2852
Abbilddateiname: …\explorer.exe
Zugriffe: Attribute lesen
Zugriffsmaske: 0x80
Geschlossenes Handle:
Objektserver: Microsoft Exchange
Handlekennung: 201108328
Prozesskennung: 4736
Abbilddateiname: …\Exchsrvr\bin\store.exe
ich habe mal exemplarisch zwei Eintrage gepostet. Diese werden - neben den eigentlichen Dateizugriffen - ebenfalls geloggt. Es wäre natürlich schön, wenn das loggen dieser Einträge abschaltbar wäre.
Objektzugriffsversuch:
Objektserver: Security
Handlekennung: 2572
Objekttyp: File
Prozesskennung: 2852
Abbilddateiname: …\explorer.exe
Zugriffe: Attribute lesen
Zugriffsmaske: 0x80
Geschlossenes Handle:
Objektserver: Microsoft Exchange
Handlekennung: 201108328
Prozesskennung: 4736
Abbilddateiname: …\Exchsrvr\bin\store.exe
Hallo!
Wir haben das gleiche Problem.
Ich habe http://support.microsoft.com/kb/841001/en-us gefunden, und die Lösung 1 sieht vielversprechend aus.
Die Einstellung heißt auf Deutsch: Überwachung: Zugriff auf globale Systemobjekte prüfen
Mal sehen was nach dem Serverneustart passiert.
Wir haben das gleiche Problem.
Ich habe http://support.microsoft.com/kb/841001/en-us gefunden, und die Lösung 1 sieht vielversprechend aus.
Die Einstellung heißt auf Deutsch: Überwachung: Zugriff auf globale Systemobjekte prüfen
Mal sehen was nach dem Serverneustart passiert.
