Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ereignisanzeige - Überwachung Objektzugriffsversuche (Dateiaktivitäten) - übersichtlich dastellen? (server 2008)

Frage Microsoft Windows Server

Mitglied: maxschaf

maxschaf (Level 1) - Jetzt verbinden

23.08.2009, aktualisiert 23:03 Uhr, 21571 Aufrufe, 7 Kommentare

Hallo

wir betreiben einen Windows Server 2008 in einer Workgroup als Dateiserver und möchten jegliche Dateizugriffe protokollieren um etwaige Fehler lokalisieren zu können.
Diese Protokolle sollten neben Uhrzeit, Rechner, Benutzer auch die Art des Zugriffes enthalten (Auslesen von Dateien, Erstellen von Dateien, Löschen von Dateien).

Löse das bis jetzt über die eigene NTFS Überwachung, wo alle Zugriffe dann in der Ereignisanzeige-Sicherheit protokolliert werden. Mein Problem ist jetzt, dass das ziemlich unübersichtlich wird. Ich experimentiere jetzt schon einige Zeit mit den Filtern, schaffe es aber nicht eine übersichtliche Ansicht zu erstellen.
Es werden pro Dateiaktivität so viele Einträge erstellt und diese sind nicht wirklich eindeutig zu unterscheiden.

Hat jemand eine Lösung für dieses Problem? Übersehe ich da eine Möglichkeit für vernünftige Filter oder gibt es andere Software, die soetwas bewerkstelligen kann?

LG
Mitglied: maxschaf
24.08.2009 um 10:56 Uhr
Die Ereignisanzeige ist anscheinend ein ziemlich mächtiges Tool. Ist es damit aber möglich, die Art des Zugriffes (Auslesen von Dateien, Erstellen von Dateien, Löschen von Dateien) eindeutig zu unterscheiden?

Kennt jemand eine gute Literatur dazu?

Danke!
Bitte warten ..
Mitglied: 81825
24.08.2009 um 11:11 Uhr
Was ist eigentlich daran so kompliziert, in der Titelzeile des jeweiligen Protokolls z. B. Auf Ereignis-ID zu klicken oder auf der rechten Seite unter Aktionen die Filterfunktionen zu nutzen?
Jede Aktion hat eine definierte ID, und die kann man filtern.
Bitte warten ..
Mitglied: Pjordorf
24.08.2009 um 14:53 Uhr
Hallo maxschaf,

schon mal hier nachgelesen? Dort wird unter anderem auf den MS log Parser hingewiesen. http://www.benutzer.de/index.php?content=116735

Ansonsten hier noch zum selber programmieren: http://msdn.microsoft.com/de-de/library/y0fwyz5a.aspx

Peter
Bitte warten ..
Mitglied: maxschaf
25.08.2009 um 18:52 Uhr
Wenn ich jetzt von einem Rechner auf eine Freigabe zugreife sehe ich zuerst schön:
ID-4776(Überprüfung der Anmeldeinformationen) und

ID-4624(Anmeldung) und mit welchem Kontonamen von welcher Workstation angemeldet wurde.


Dann wird der Ordner auf den die Freigabe zeigt auf der Workstation angezeigt und hier erhalte ich eine ganze Flut an Logs:
ID-5140(Dateifreigabe) Zeigt mir schön, über welche Freigabe zugegriffen wird

und dann viele ID-4656(Dateisystem) des Antivirenprogramms des Servers mit Kontoname "Administrator" (bei diesen ist davor aber das Schloss mit "Überwachung gescheitert", könnte diese ausblenden, wenn ich gescheiterte nicht mitlogge)?

ID-4656(Dateisystem) Dieses zeigt dann den Zugriff, "Ein Handle zu einem Objekt wurde angefordert.", Kontoname und Objektname(der auf den geöffneten Ordner zeigt) werden geloggt

ID-4658(Dateisystem) "Ein Handle zu einem Objekt wurde geschlossen." Hier habe ich lediglich noch den Kontonamen, anscheinend gehören aber immer ein 4656 und ein 4658 zusammen, wenn der Zugriff erfolgreich war

dann kommen wieder einige ID-4656 des Antivirenprogramms

dann wieder ID-4656(Andere Objektzugriffsereignisse) des Svchost

und wenn ich dann einen Ordner öffne, habe ich ganz viele 4656 mit folgendem 4658, wo auch auf Unterordner zugegriffen wird, obwohl der Explorer des Zugreifers nur den Hauptordner anzeigt. (werden aber nicht alle Unterordner geloggt, wirkt sehr unregelmäßig, welche Unterordner protokolliert werden)

Wie kann ich hier auseinanderhalten, auf welche Ordner bzw. Dateien Benutzer wirklich zugegriffen haben?

Liebe Grüße
Bitte warten ..
Mitglied: maxschaf
28.08.2009 um 17:52 Uhr
Kennst jemand gute Tutorials, wie man die Ereignisanzeige auch mit Verwendung von XML optimal filtern kann?

Oder Programme wie File System Auditor, das etwas billiger ist?
Bitte warten ..
Ähnliche Inhalte
Windows Server
AD Überwachung nach unterschiedlichen Ereignissen (3)

Frage von WinLiCLI zum Thema Windows Server ...

Batch & Shell
gelöst Powershell Hashtable to Übersichtliche Darstellung (2)

Frage von Marabunta zum Thema Batch & Shell ...

Hyper-V
Hyper-V Replica Überwachung (3)

Frage von felsenstadt zum Thema Hyper-V ...

Administrator.de Feedback
Neue Kategorie - Überwachung (4)

Frage von pelzfrucht zum Thema Administrator.de Feedback ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 im Unternehmen? (26)

Frage von zorlayan zum Thema Windows 10 ...

LAN, WAN, Wireless
Ping u. DNS geht am Rechner nicht mehr (18)

Frage von Kuemmel zum Thema LAN, WAN, Wireless ...

Festplatten, SSD, Raid
Raid 1 2 SSD mit Windows Server 2016 (17)

Frage von jaywee zum Thema Festplatten, SSD, Raid ...

Voice over IP
Über Fritzfax over IP gehen nur einige Faxe (12)

Frage von shearer9 zum Thema Voice over IP ...