xbast1x
Nov 03, 2015, updated at 12:15:09 (UTC)
view4977
view9
0
Goto Top

Dateien von Fileserver verschwunden

GermansolvedQuestionWindows ServerMicrosoft
Hallo,

ein Mitarbeiter hat mir bereits 3-4 gemeldet, dass Dateien aus einem bestimmten Verzeichnis verschwunden sind. Diese konnten mittels Vorgängerversion wiederhergestellt werden. Verwendet wird ein Server 2012 R2 als Basis. Die Clients sind Win7 64bit. Offline Synchro ist deaktiviert.

Auf den Ordner sind rund 20 Leute berechtigt, wobei es natürlich sein kann, dass eine Person X ausversehen Ordner verschiebt/löscht. Systemseitig passierte um die Zeit nichts (Der Server wird nur Freitags gesichert).


Nun meine Frage. Gibt es eine Möglichkeit oder ein Tool einen bestimmten Ordnerbereich überwachen zu lassen um festzustellen, welche Person ggfs. die Sachen gelöscht hat?

Grüße Sebastian
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 287387

Url: https://administrator.de/contentid/287387

Printed on: April 18, 2024 at 03:04 o'clock

9 Comments
Latest comment
Goto Top
Member: beidermachtvongreyscull
beidermachtvongreyscull Nov 03, 2015 at 12:01:49 (UTC)
Goto Top
Vielleicht hilft Dir ein Tool der folgenden Webseite weiter:
https://www.raymond.cc/blog/3-portable-tools-monitor-files-folders-chang ...
Mitglied: 114757
Solution 114757 Nov 03, 2015 updated at 12:15:12 (UTC)
Goto Top
Moin,
Stichwort: NTFS-Auditing
Rechtsklick auf den Ordner > Eigenschaften > Sicherheit > Überwachung
Dann noch in der lokalen Security-Policy auf dem das Share liegt das Auditing einschalten, dann werden die Zugriffe des Ordners im Security-Eventlog aufgezeichnet.
Auditing mit Windows

Gruß jodel32
Mitglied: 114757
Solution 114757 Nov 03, 2015 updated at 12:15:11 (UTC)
Goto Top
Protokollierung gelöschter Dateien auf einem Fileserver
Member: xbast1x
xbast1x Nov 03, 2015 at 12:10:09 (UTC)
Goto Top
Danke Jodel, dass klingt genau nach meinen Vorstellung.

Ich habe im Auditing folgende Einstellung:

Anmeldeereignisse überwachen: Erfolgreich Fehler
Anmelderversuche überwachen : Erfolgreich Fehler
Ojbekzugriffsversuche überwachen: Erfolgreich
Systemereignisse Überwachen: Erfolgreich Fehler
Verzeichnisdienstzugriff überwachen: Erfolgreich

Reichen diese um festzustellen, wenn ein Ordner verändert/gelöscht wurde?
Mitglied: 114757
Solution 114757 Nov 03, 2015 updated at 12:15:09 (UTC)
Goto Top
Das hier reicht völlig aus:
Objekzugriffsversuche überwachen: Erfolgreich
mit zusätzlich dem entsprechenden Überwachungs-Eintrag in der ACL des Ordners auf Löschversuche.

Detaillierter geht es auch noch in den Erweiterte Überwachungsrichtlinienkonfiguration
Member: xbast1x
xbast1x Nov 03, 2015 at 12:14:22 (UTC)
Goto Top
Alles klar, haut hin habe es getestet. Tausend Dank!
Member: xbast1x
xbast1x Nov 04, 2015 at 12:50:16 (UTC)
Goto Top
Wie funktioniert die Filterung bei gespeicherten/archivierten Logs. Da nimmt er immer die Standardansicht. Wenn ich unter Eigenschaften XML den Code für die Anzeige von nur DELTE eintrage, erscheint:

Das Ereignisprotokoll oder die benutzerdefinierte Ansicht kann nicht geöffnet werden. Überprüfen Sie, ob deR Ereignisprotokolldienst ausgeführt oder ob die Abfrage zu lang ist. Der angegebene Kanal ist ungültig (15000)

Grüße
Mitglied: 114757
114757 Nov 04, 2015 at 12:56:08 (UTC)
Goto Top
Protokollierung gelöschter Dateien auf einem Fileserver
Member: xbast1x
xbast1x Nov 04, 2015 at 13:03:31 (UTC)
Goto Top
Die Einstellungen die dort beschrieben werden hatte ich bereits gesetzt, wenn ich diese jedoch auf die gespeicherten Protokolle anwenden möchte erscheint die Meldung aus meinem Kommentar zuvor.

Bei der aktuellen Logdatei lässt es sich problemlos filtern, bis diese gespeichert wurde.
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment