Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zum Event Log

Frage Microsoft Windows Server

Mitglied: Antigon

Antigon (Level 1) - Jetzt verbinden

09.03.2010, aktualisiert 16:05 Uhr, 4336 Aufrufe, 4 Kommentare

Ich suche eine Liste von Event IDs oder eine Kategorisierung von Event IDs in Listenform.

Mein Problem ist recht simpel aber irgendwie komme ich dabei nicht weiter.

Ich möchte eine Liste von Event IDs erstellen, die nach Vorgabe protokolliert werden müssen. Dazu gehören u.a. alle Tätigkeiten bestimmter Benutzer nach Anmeldung bis zur Abmeldung. Soweit so gut. Ich kann zwar die DAtenbank abfragen beim Ereignisprotokoll, aber das nützt mir nicht wirklich etwas. Ich würde sozusagen die dahinter stehende Logik benötigen in der ich z.B. kategorisiere, dass die Event IDs (achtung nur Hausnummern, nicht relevant) 1000-1005, 28810, 28903 etc aufgezeichnet werden müssen.

Gibt es irgendwo eine Logik, oder Liste aus der ich ersehen könnte, welche Event ID was genau aufzeichnet ohne dass ich jeden einzelnen fall auflisten muss? Also was is ID 1, was is ID 2 bis eben zum Ende der IDs Nummern?

Vielen Dank im Voruas, bin für jede Hilfe dankbar.

Chris
Mitglied: DerWoWusste
09.03.2010 um 19:47 Uhr
Hi Chris.
Das klingt für mich erstmal noch ungeordnet - sag doch, was Du erreichen möchtest.
alle Tätigkeiten bestimmter Benutzer nach Anmeldung bis zur Abmeldung
-was soll das bringen?
-wer will das wann auswerten und wie?
Was stellst Du Dir unter "alle Tätigkeiten" vor? Alles, also auch starte Outlook, lese Mail xy, öffne den Anhand, öffne den Browser, surfe zu Site xy, öffne dann Dokument xy, stelle dann die Schriftart im Dokument um, kopiere die Datei dann nach...?
Bitte warten ..
Mitglied: Antigon
10.03.2010 um 09:13 Uhr
Ohne da jetzt weit auszuholen, es geht um das Thema Zertifizierung. Unsere Kunden müssen laut Vorgabe Tätigkeiten einiger Benutzer vollständig erfassen und protokollieren. Soweit so gut. Unsere Auditoren müssen bei der Zertifizierung schnell und einfach überprüfen, ob die Vorgaben erfüllt werden.

Ich kenne mich mit MS Systemen eigentlich sehr gut aus, weiss nun wo ich was einstellen muss um z.B. einzelne Tätigkeiten im Eventlog nachvollziehen zu können. Die Probleme sind mehr organisatorischer als technischer Natur, denn einem Linux-Pro kommen mitunter in einzelnen Fällen auch immer wieder MS Computer unter und der ist natürlich net soooooo sicher, und die Gefahr dass ich einzelne Sachen vergesse oder generell net weiss, sind da schon vorhanden.

Mein Ziel ist es, unserem Team eine ID-Liste zur Verfügung zu stellen, anhand der Auditor einfach und sicher überprüfen kann, ob die Vorgaben erfüllt sind, oder nicht. Eine solche Liste von einem aktiven Server abzufragen ist zwar logisch, aber ich kann einfach nicht alle Eventualitäten - MS+MSweb+ASP+MSSQL / MS+Apache+PHP+MySQL etc in 100en Konfigs durchgehen um eine genaue Liste zu erstellen. Deswegen die Frage, ob da jemand einen einfachen Weg kennt diese IDs katgegorisiert auszugeben, oder ob es vielleicht eine maßgebliche Referenzliste irgendwo gibt.

Und ja, alle Tätigkeiten umfasst unter anderem auch das Starten eines Webbrowsers um z.B. administrative Tätigkeiten auf dem IDS, der Firewall oder dem Loadbalancer durchzuführen. Nicht nur um den Admin zu kontrollieren sondern um auch im Falle eines erfolgreichen Angriffs ausreichend Logentries für forensische Tätigkeiten und Beweisfindung zu haben.

Ziemlich saftig, is mir klar, oder geh ich das ganze einfach falsch an?

Chris
Bitte warten ..
Mitglied: DerWoWusste
10.03.2010 um 09:58 Uhr
Das Eventlog protokolliert nicht alles, was Du willst. Du kannst jegliche Dateizugriffe protokollieren lassen, aber Du wirst auf keinen Fall alles dort reinbekommen, was Du suchst. Du wirst nicht sehen, was in den Anwendungen gemacht wurde, nur welche Dateien geöffnet wurden. Auch kann nicht jede Konfigurationsänderung am System aufgezeichnet werden - wie soll das gehen? Der Rechner macht nicht nicht pausenlos vorher-Nachher-Vergleiche.
Bitte warten ..
Mitglied: Antigon
10.03.2010 um 10:19 Uhr
Verstehe, nein gewisse Sachen werden ohnehin durch FIM gelöst. Dass ich zuerst konfigurieren muss, was aufgezeichnet werden soll, ist auch klar. Ebenso dass Applikationen nur dann protokollieren wenn die Entwickler dies auch berücksichtigt haben. Schon klar.

Der Punkt ist, dass durch eine ID-liste unsere Auditoren die, naja, nennen wir das mal die unterste Latte der Sicherheit aufgrund von ID-Aufzeichnungsvorgabe defienieren und auch anhand dieser Liste beim Audit überprüfen können, ob das aufgezeichnet wird.

z.B. User Logon <Administrator> und User Logoff <Administrator>, diese ID ist aufzuzeichnen. Was er genau tut, das kann Windows nicht aufzeichnen, nur bis zu einem gewissen Level. Aber ich möchte protokolliert haben, wenn er z.B. das Log verändert. Oder wenn er den virtuellen Speicher löscht/verändert. Ob er nun auf dem Ding irgendwo herumsurft is ne andere Sache, das interessiert nicht wirklich. Wenn er auf der Firewall rumwerkelt, wird das ohnehin dort protokolliert und über file integrity monitoring gelogt.

Da ich aber nicht alle Eventualitäten und Tätigkeiten vorhersehen kann, wäre es gut zu wissen, welche ID Nummer welches Ereignis aufzeichnet. Deswegen suche ich sowas wie eine Referenzliste. Auf der kann ich mir dann aussuchen, was alles dazugehört, und was nicht.

Wir sprechen hier nicht von einem Betrieb mit einem normalen LAN. Es geht um Rechenzentren, in höchstem Maße abgesichert, und wo wirklich alles und jedes Detail bis ins winzigste aufgezeichnet werden muss. Auch in solchen Umgebungen stoßen wir eben auf MS Server. Und da brauchen wir viel Information. Und eine Liste mit allen Möglichkeiten und bis ins Detail wäre eine große Hilfe. Sonst bleibt mir eh nix übrig, als eben erst die Grunddefnition zu erledigen, und eben nach Bedarf IDs hinzufügen. Und eben alle ID nummern durchzuforsten. man muss ja nicht jedes Rad neu erfinden

Chris
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Event-log, WinRM, Listener Port

Frage von DaveDave zum Thema Windows Server ...

Windows Server
gelöst Event logs on system - In 24 hours more than 200,000 log events are generated (7)

Frage von Daywalker75 zum Thema Windows Server ...

Batch & Shell
gelöst Kl. Frage: Log-File schreiben per Batch (3)

Frage von Yauhun zum Thema Batch & Shell ...

Batch & Shell
Checkbox Event (1)

Frage von Markus2016 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...