Ereignisanzeige - Überwachung Objektzugriffsversuche (Dateiaktivitäten) - übersichtlich dastellen? (server 2008)
Hallo
wir betreiben einen Windows Server 2008 in einer Workgroup als Dateiserver und möchten jegliche Dateizugriffe protokollieren um etwaige Fehler lokalisieren zu können.
Diese Protokolle sollten neben Uhrzeit, Rechner, Benutzer auch die Art des Zugriffes enthalten (Auslesen von Dateien, Erstellen von Dateien, Löschen von Dateien).
Löse das bis jetzt über die eigene NTFS Überwachung, wo alle Zugriffe dann in der Ereignisanzeige-Sicherheit protokolliert werden. Mein Problem ist jetzt, dass das ziemlich unübersichtlich wird. Ich experimentiere jetzt schon einige Zeit mit den Filtern, schaffe es aber nicht eine übersichtliche Ansicht zu erstellen.
Es werden pro Dateiaktivität so viele Einträge erstellt und diese sind nicht wirklich eindeutig zu unterscheiden.
Hat jemand eine Lösung für dieses Problem? Übersehe ich da eine Möglichkeit für vernünftige Filter oder gibt es andere Software, die soetwas bewerkstelligen kann?
LG
wir betreiben einen Windows Server 2008 in einer Workgroup als Dateiserver und möchten jegliche Dateizugriffe protokollieren um etwaige Fehler lokalisieren zu können.
Diese Protokolle sollten neben Uhrzeit, Rechner, Benutzer auch die Art des Zugriffes enthalten (Auslesen von Dateien, Erstellen von Dateien, Löschen von Dateien).
Löse das bis jetzt über die eigene NTFS Überwachung, wo alle Zugriffe dann in der Ereignisanzeige-Sicherheit protokolliert werden. Mein Problem ist jetzt, dass das ziemlich unübersichtlich wird. Ich experimentiere jetzt schon einige Zeit mit den Filtern, schaffe es aber nicht eine übersichtliche Ansicht zu erstellen.
Es werden pro Dateiaktivität so viele Einträge erstellt und diese sind nicht wirklich eindeutig zu unterscheiden.
Hat jemand eine Lösung für dieses Problem? Übersehe ich da eine Möglichkeit für vernünftige Filter oder gibt es andere Software, die soetwas bewerkstelligen kann?
LG
Please also mark the comments that contributed to the solution of the article
Content-Key: 123314
Url: https://administrator.de/contentid/123314
Printed on: April 19, 2024 at 11:04 o'clock
7 Comments
Latest comment
Hallo.
Befasse dich mit Powershell - http://blogs.technet.com/ralfschnell/archive/2009/08/12/abfrage-von-eve ...
LG Günther
Befasse dich mit Powershell - http://blogs.technet.com/ralfschnell/archive/2009/08/12/abfrage-von-eve ...
LG Günther
Was ist eigentlich daran so kompliziert, in der Titelzeile des jeweiligen Protokolls z. B. Auf Ereignis-ID zu klicken oder auf der rechten Seite unter Aktionen die Filterfunktionen zu nutzen?
Jede Aktion hat eine definierte ID, und die kann man filtern.
Jede Aktion hat eine definierte ID, und die kann man filtern.
Hallo maxschaf,
schon mal hier nachgelesen? Dort wird unter anderem auf den MS log Parser hingewiesen. http://www.benutzer.de/index.php?content=116735
Ansonsten hier noch zum selber programmieren: http://msdn.microsoft.com/de-de/library/y0fwyz5a.aspx
Peter
schon mal hier nachgelesen? Dort wird unter anderem auf den MS log Parser hingewiesen. http://www.benutzer.de/index.php?content=116735
Ansonsten hier noch zum selber programmieren: http://msdn.microsoft.com/de-de/library/y0fwyz5a.aspx
Peter