Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Datenflut bei aktivierter Objektzugriffüberwachung (W2K3)

Mitglied: fontemagno

fontemagno (Level 1) - Jetzt verbinden

23.03.2010, aktualisiert 09:22 Uhr, 3161 Aufrufe, 7 Kommentare

Hallo,

bei einem Kunden sollen einige Verzeichnisse bzgl. der Zugriffe überwacht werden. Die rechtlichen Belange dazu sind geklärt. Nun habe ich das Problem, dass nach aktivierter Objektzugriffüberwachung auf einem W2K3 Server neben den gewünschten Informationen über Dateizugriffe auch massig Einträge von z.B. Exchange (store.exe), mmc.exe oder auch explorer.exe erscheinen. Und das ganze nahezu im Sekundentakt. Gibt es eine Möglichkeit, diese Einträge auszuklammern, und zwar nicht erst durch einen Filter bei der Logansicht, sondern so, dass diese erst gar nicht im Log erscheinen. Hab' gegoogelt und bislang keine brauchbaren Ideen gefunden.

Über Tips wäre ich sehr dankbar.
Mitglied: DerWoWusste
23.03.2010 um 10:22 Uhr
Moin.
Wie die Objektzugriffsüberwachung eingestellt ist, verschweigst Du. Wo also sollen Helfer ansetzen?
Bitte warten ..
Mitglied: fontemagno
23.03.2010 um 13:02 Uhr
Hallo,
ich habe die Objektzgriffsüberwachung per Richtlinie aktiviert und für einen Ordner Aktion "löschen" zur Überwachung ausgewählt. Mehr habe ich nicht gemacht. Ich leite aus Deiner Antwort aber ab, dass es weitere Einstellungsmöglichkeiten gibt, die ich offenbar nicht kenne.
Bitte warten ..
Mitglied: DerWoWusste
23.03.2010 um 13:18 Uhr
Du kannst doch den Personenkreis einschränken - zur Zeit ist eventuell die Aktion löschen für "jeder" überwacht. Ändere auf die Benutzer/Gruppen, die in Frage kommen oder auf die Gruppe Domänenbenutzer.
Bitte warten ..
Mitglied: fontemagno
23.03.2010 um 13:52 Uhr
Hallo,

danke für Deine Antwort. Aktuell habe ich das aber auch nur für einen Benutzer gemacht, um ein Feeling für die Datenmenge zu bekommen. Die Einträge zu der eigentlichen Fileüberwachung sind auch überschaubar; geflutet wird das Log überwiegend von store.exe einträgen.
Bitte warten ..
Mitglied: DerWoWusste
23.03.2010 um 14:01 Uhr
Gut, dann gib an, ob die store.exe-Einträge auch Überwachungseinträge sind und wenn ja, was dabei überwacht wird.
Bitte warten ..
Mitglied: fontemagno
07.04.2010 um 09:42 Uhr
Hallo,

ich habe mal exemplarisch zwei Eintrage gepostet. Diese werden - neben den eigentlichen Dateizugriffen - ebenfalls geloggt. Es wäre natürlich schön, wenn das loggen dieser Einträge abschaltbar wäre.

Objektzugriffsversuch:
Objektserver: Security
Handlekennung: 2572
Objekttyp: File
Prozesskennung: 2852
Abbilddateiname: …\explorer.exe
Zugriffe: Attribute lesen
Zugriffsmaske: 0x80

Geschlossenes Handle:
Objektserver: Microsoft Exchange
Handlekennung: 201108328
Prozesskennung: 4736
Abbilddateiname: …\Exchsrvr\bin\store.exe
Bitte warten ..
Mitglied: Nachtexpress-
12.10.2011 um 17:38 Uhr
Hallo!

Wir haben das gleiche Problem.
Ich habe http://support.microsoft.com/kb/841001/en-us gefunden, und die Lösung 1 sieht vielversprechend aus.
Die Einstellung heißt auf Deutsch: Überwachung: Zugriff auf globale Systemobjekte prüfen

Mal sehen was nach dem Serverneustart passiert.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Netzlaufwerk nur trennen, wenn keine Offline-Files aktiviert aktiviert sind

Frage von jsysdeWindows Server

N'Abend zusammen. Ich glaube, ich hab' das Internet hierzu schon mehrfach leer-gegoogled und -gebinged - ohne nennenswerte Ergebnisse, daher ...

Windows Server

Neue RDS Lizenz kann nicht aktiviert werden: "Die Lizenznummer ist bereits aktiviert"

Frage von rickstinsonWindows Server

Hallo, bevor ich jetzt das ganze nochmals beim Lieferanten reklamiere, habe ich mir gedacht, ich frage mal hier nach ...

Windows 10

Windows 10 kann nicht aktiviert werden

gelöst Frage von Alexander.SchmittWindows 1016 Kommentare

Moin Moin, ich habe seit einigen Tagen das Problem, das mein Windows 10 sich nach einer Neuinstallation einfach nicht ...

Verschlüsselung & Zertifikate

Bitlocker konnte nicht aktiviert werden

gelöst Frage von EvilMoeVerschlüsselung & Zertifikate15 Kommentare

Abend, seit einen kleinen Umbau habe ich Probleme mit Bitlocker. Vor dem Umbau waren beide Laufwerke (1 SSD und ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 7 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 19 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 21 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 21 StundenMicrosoft13 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server34 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...