37958
Feb 22, 2017
4571
13
0
Windows Server 2008 R2, Ordner und Unterordner überwachen auf Löschen von Dateien oder Ordner
Hi,
gibt es eine Möglichkeit, einen Ordner zu überwachen, wer wann was gelöscht hat?
Es verschwinden immer mal wieder SolidEdge Baugruppen und keiner wars.
Ich hab da über Eigenschaften, Sicherheit, Erweitert, Überwachung, Bearbeitung was gefunden.
Dort dann hinzufügen, JEDER (Ich hoffe Admin, Systemdienste, Kaspersky und die Benutzer und Gruppen sind mit JEDER gemeint).
Dann hab ich mal Dateien erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Unterornder und Dateien löschen
Löschen
Angehakt sind da sowohl ERFOLG als auch FEHLER.
Übernehmen für Diesen Ordner, Unterordner und Dateien.
Nicht angehakt ist Überwachungseinträge nur für Objekte und/oder Container deses Containers übernehmen.
So. Dann hab ich als Admin auf dem Server mal in dem zu überwachenden Ordner ein Verzeichnis erstellt. Eine Datei erstellt.
Dann die Datei gelöscht. Ich finde aber nix in der Ereignisanzeige.
Wo müßte ich denn da was finden?
Grüße
Heinz
gibt es eine Möglichkeit, einen Ordner zu überwachen, wer wann was gelöscht hat?
Es verschwinden immer mal wieder SolidEdge Baugruppen und keiner wars.
Ich hab da über Eigenschaften, Sicherheit, Erweitert, Überwachung, Bearbeitung was gefunden.
Dort dann hinzufügen, JEDER (Ich hoffe Admin, Systemdienste, Kaspersky und die Benutzer und Gruppen sind mit JEDER gemeint).
Dann hab ich mal Dateien erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Unterornder und Dateien löschen
Löschen
Angehakt sind da sowohl ERFOLG als auch FEHLER.
Übernehmen für Diesen Ordner, Unterordner und Dateien.
Nicht angehakt ist Überwachungseinträge nur für Objekte und/oder Container deses Containers übernehmen.
So. Dann hab ich als Admin auf dem Server mal in dem zu überwachenden Ordner ein Verzeichnis erstellt. Eine Datei erstellt.
Dann die Datei gelöscht. Ich finde aber nix in der Ereignisanzeige.
Wo müßte ich denn da was finden?
Grüße
Heinz
Please also mark the comments that contributed to the solution of the article
Content-Key: 330171
Url: https://administrator.de/contentid/330171
Printed on: April 20, 2024 at 02:04 o'clock
13 Comments
Latest comment
What???? Du machst es dir aber schön einfach...
Und mit den Bildchen kriegt das dann noch jeder Hinz hin.
Du hast vergessen die Protokollierung in der lokalen Sicherheitsrichtlinie (secpol.msc) für die Dateisystemüberwachung zu aktivieren.
Und mit den Bildchen kriegt das dann noch jeder Hinz hin.
Du hast vergessen die Protokollierung in der lokalen Sicherheitsrichtlinie (secpol.msc) für die Dateisystemüberwachung zu aktivieren.
Nein, Objektzugriffsversuche.
Es gibt dort auch noch eine Richtlinie mit der man genauer definieren kann was im Dateisystem geloggt wird.
ganz unten ...
Hier steht's doch min Jung
https://technet.microsoft.com/en-us/library/dn319056(v=ws.11).aspx
Es gibt dort auch noch eine Richtlinie mit der man genauer definieren kann was im Dateisystem geloggt wird.
ganz unten ...
Hier steht's doch min Jung
https://technet.microsoft.com/en-us/library/dn319056(v=ws.11).aspx
Zitat von @37958:
Ja, jetzt wird in der Ereignisanzeige unter Sicherheit alles Protokoliert.
Leider wirklich alles, nicht nur der Ordner, den ich überwachen wollte und dann auch noch ohne Unterscheidung.
Schön wäre gewesen, wenn man nur das sieht, wenn etwas gelöscht wird.
Kann man das noch eingrenzen?
Hast du den Beitrag oben im Link wirklich komplett gelesen?? Ich glaube nicht! Dort steht es mit Bildchen Schritt für Schritt wie das gemacht wird!Ja, jetzt wird in der Ereignisanzeige unter Sicherheit alles Protokoliert.
Leider wirklich alles, nicht nur der Ordner, den ich überwachen wollte und dann auch noch ohne Unterscheidung.
Schön wäre gewesen, wenn man nur das sieht, wenn etwas gelöscht wird.
Kann man das noch eingrenzen?
Einfach eine Ansicht im Protokoll Sicherheit erstellen und den XML-Filter angeben, schon stehen dort z.B. nur noch Löschungen.
Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:
Grüße Benni
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12811"] and EventData[Data[@Name="AccessMask"]="0x10080"]]</Select>
</Query>
</QueryList>
Grüße Benni
Zitat von @bennnib:
Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:
Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:
<QueryList>
> <Query Id="0" Path="Security">
> <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12811"] and EventData[Data[@Name="AccessMask"]="0x10080"]]</Select>
> </Query>
> </QueryList>
Hi,
"AccessMask"]="0x10080"
das trifft in dann aber nur zu wenn folgende beiden Zugriffe zusammenfallen:- Dateiattribute lesen
- Löschen
Gruß schnappi
Besser immer nachprüfen . Hier ein kleines PS-Skript für die AccessMask
function Get-RightsFromAccessMask {
param(
[parameter(mandatory=$true)][int32]$mask
)
$htmask = [ordered] @{
1 = 'Lesen / Auflisten'
2 = 'Schreiben / Dateien erstellen'
4 = 'Anhängen / Unterordner erstellen'
8 = 'Erweiterte Attribute lesen'
16 = 'Erweiterte Attribute schreiben.'
32 = 'Dateien ausführen / Verzeichnisse auflisten'
64 = 'Ordner löschen'
128 = 'Dateiattribute lesen'
256 = 'Dateiattribute ändern'
65536 = 'Löschen'
131072 = 'Lesezugriff auf Security ACL und Besitzer'
262144 = 'Schreibzugriff DACL'
524288 = 'Besitzer ändern'
1048576 = 'Synchronisation'
}
$htmask.Keys.GetEnumerator() | ?{$mask -band $_} | %{write-host "-"$htmask.$_ -F Green}
}
Get-RightsFromAccessMask -mask 0x10080