Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

Frage zum Event Log

Mitglied: Antigon

Antigon (Level 1) - Jetzt verbinden

09.03.2010, aktualisiert 16:05 Uhr, 4396 Aufrufe, 4 Kommentare

Ich suche eine Liste von Event IDs oder eine Kategorisierung von Event IDs in Listenform.

Mein Problem ist recht simpel aber irgendwie komme ich dabei nicht weiter.

Ich möchte eine Liste von Event IDs erstellen, die nach Vorgabe protokolliert werden müssen. Dazu gehören u.a. alle Tätigkeiten bestimmter Benutzer nach Anmeldung bis zur Abmeldung. Soweit so gut. Ich kann zwar die DAtenbank abfragen beim Ereignisprotokoll, aber das nützt mir nicht wirklich etwas. Ich würde sozusagen die dahinter stehende Logik benötigen in der ich z.B. kategorisiere, dass die Event IDs (achtung nur Hausnummern, nicht relevant) 1000-1005, 28810, 28903 etc aufgezeichnet werden müssen.

Gibt es irgendwo eine Logik, oder Liste aus der ich ersehen könnte, welche Event ID was genau aufzeichnet ohne dass ich jeden einzelnen fall auflisten muss? Also was is ID 1, was is ID 2 bis eben zum Ende der IDs Nummern?

Vielen Dank im Voruas, bin für jede Hilfe dankbar.

Chris
Mitglied: DerWoWusste
09.03.2010 um 19:47 Uhr
Hi Chris.
Das klingt für mich erstmal noch ungeordnet - sag doch, was Du erreichen möchtest.
alle Tätigkeiten bestimmter Benutzer nach Anmeldung bis zur Abmeldung
-was soll das bringen?
-wer will das wann auswerten und wie?
Was stellst Du Dir unter "alle Tätigkeiten" vor? Alles, also auch starte Outlook, lese Mail xy, öffne den Anhand, öffne den Browser, surfe zu Site xy, öffne dann Dokument xy, stelle dann die Schriftart im Dokument um, kopiere die Datei dann nach...?
Bitte warten ..
Mitglied: Antigon
10.03.2010 um 09:13 Uhr
Ohne da jetzt weit auszuholen, es geht um das Thema Zertifizierung. Unsere Kunden müssen laut Vorgabe Tätigkeiten einiger Benutzer vollständig erfassen und protokollieren. Soweit so gut. Unsere Auditoren müssen bei der Zertifizierung schnell und einfach überprüfen, ob die Vorgaben erfüllt werden.

Ich kenne mich mit MS Systemen eigentlich sehr gut aus, weiss nun wo ich was einstellen muss um z.B. einzelne Tätigkeiten im Eventlog nachvollziehen zu können. Die Probleme sind mehr organisatorischer als technischer Natur, denn einem Linux-Pro kommen mitunter in einzelnen Fällen auch immer wieder MS Computer unter und der ist natürlich net soooooo sicher, und die Gefahr dass ich einzelne Sachen vergesse oder generell net weiss, sind da schon vorhanden.

Mein Ziel ist es, unserem Team eine ID-Liste zur Verfügung zu stellen, anhand der Auditor einfach und sicher überprüfen kann, ob die Vorgaben erfüllt sind, oder nicht. Eine solche Liste von einem aktiven Server abzufragen ist zwar logisch, aber ich kann einfach nicht alle Eventualitäten - MS+MSweb+ASP+MSSQL / MS+Apache+PHP+MySQL etc in 100en Konfigs durchgehen um eine genaue Liste zu erstellen. Deswegen die Frage, ob da jemand einen einfachen Weg kennt diese IDs katgegorisiert auszugeben, oder ob es vielleicht eine maßgebliche Referenzliste irgendwo gibt.

Und ja, alle Tätigkeiten umfasst unter anderem auch das Starten eines Webbrowsers um z.B. administrative Tätigkeiten auf dem IDS, der Firewall oder dem Loadbalancer durchzuführen. Nicht nur um den Admin zu kontrollieren sondern um auch im Falle eines erfolgreichen Angriffs ausreichend Logentries für forensische Tätigkeiten und Beweisfindung zu haben.

Ziemlich saftig, is mir klar, oder geh ich das ganze einfach falsch an?

Chris
Bitte warten ..
Mitglied: DerWoWusste
10.03.2010 um 09:58 Uhr
Das Eventlog protokolliert nicht alles, was Du willst. Du kannst jegliche Dateizugriffe protokollieren lassen, aber Du wirst auf keinen Fall alles dort reinbekommen, was Du suchst. Du wirst nicht sehen, was in den Anwendungen gemacht wurde, nur welche Dateien geöffnet wurden. Auch kann nicht jede Konfigurationsänderung am System aufgezeichnet werden - wie soll das gehen? Der Rechner macht nicht nicht pausenlos vorher-Nachher-Vergleiche.
Bitte warten ..
Mitglied: Antigon
10.03.2010 um 10:19 Uhr
Verstehe, nein gewisse Sachen werden ohnehin durch FIM gelöst. Dass ich zuerst konfigurieren muss, was aufgezeichnet werden soll, ist auch klar. Ebenso dass Applikationen nur dann protokollieren wenn die Entwickler dies auch berücksichtigt haben. Schon klar.

Der Punkt ist, dass durch eine ID-liste unsere Auditoren die, naja, nennen wir das mal die unterste Latte der Sicherheit aufgrund von ID-Aufzeichnungsvorgabe defienieren und auch anhand dieser Liste beim Audit überprüfen können, ob das aufgezeichnet wird.

z.B. User Logon <Administrator> und User Logoff <Administrator>, diese ID ist aufzuzeichnen. Was er genau tut, das kann Windows nicht aufzeichnen, nur bis zu einem gewissen Level. Aber ich möchte protokolliert haben, wenn er z.B. das Log verändert. Oder wenn er den virtuellen Speicher löscht/verändert. Ob er nun auf dem Ding irgendwo herumsurft is ne andere Sache, das interessiert nicht wirklich. Wenn er auf der Firewall rumwerkelt, wird das ohnehin dort protokolliert und über file integrity monitoring gelogt.

Da ich aber nicht alle Eventualitäten und Tätigkeiten vorhersehen kann, wäre es gut zu wissen, welche ID Nummer welches Ereignis aufzeichnet. Deswegen suche ich sowas wie eine Referenzliste. Auf der kann ich mir dann aussuchen, was alles dazugehört, und was nicht.

Wir sprechen hier nicht von einem Betrieb mit einem normalen LAN. Es geht um Rechenzentren, in höchstem Maße abgesichert, und wo wirklich alles und jedes Detail bis ins winzigste aufgezeichnet werden muss. Auch in solchen Umgebungen stoßen wir eben auf MS Server. Und da brauchen wir viel Information. Und eine Liste mit allen Möglichkeiten und bis ins Detail wäre eine große Hilfe. Sonst bleibt mir eh nix übrig, als eben erst die Grunddefnition zu erledigen, und eben nach Bedarf IDs hinzufügen. Und eben alle ID nummern durchzuforsten. man muss ja nicht jedes Rad neu erfinden

Chris
Bitte warten ..
Ähnliche Inhalte
Windows Server
Event-log, WinRM, Listener Port
Frage von DaveDaveWindows Server

Hallo Leute! Ich wollte mal eben die Events von den Clients auf den Server weiterleiten Das war vor zwei ...

Windows Server
Es wird nicht immer ein Event Log Eintrag erstellt
Frage von fdh71gWindows Server

Hallo zusammen Wir haben auf bestimmten Verzeichnissen über den File Server Ressource Manager das File Screening aktiviert. Wir haben ...

XML
Event Log XML mit 2 Ereignis IDs mitloggen
Frage von Leo-leXML1 Kommentar

Hallo zusammen, weiß zufällig jemand, wir ich in meine xml abfrage 2 Ereignis-Ids eintragen kann? Hier die Xml: <QueryList> ...

Windows Server
Event logs on system - In 24 hours more than 200,000 log events are generated
gelöst Frage von Daywalker75Windows Server7 Kommentare

Hallo zusammen, Ich bin gerade in Dänemark beim Kunden Vor Ort. Auf dem Domain Controller erhalten wir folgende Log ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...