Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zum Event Log

Frage Microsoft Windows Server

Mitglied: Antigon

Antigon (Level 1) - Jetzt verbinden

09.03.2010, aktualisiert 16:05 Uhr, 4387 Aufrufe, 4 Kommentare

Ich suche eine Liste von Event IDs oder eine Kategorisierung von Event IDs in Listenform.

Mein Problem ist recht simpel aber irgendwie komme ich dabei nicht weiter.

Ich möchte eine Liste von Event IDs erstellen, die nach Vorgabe protokolliert werden müssen. Dazu gehören u.a. alle Tätigkeiten bestimmter Benutzer nach Anmeldung bis zur Abmeldung. Soweit so gut. Ich kann zwar die DAtenbank abfragen beim Ereignisprotokoll, aber das nützt mir nicht wirklich etwas. Ich würde sozusagen die dahinter stehende Logik benötigen in der ich z.B. kategorisiere, dass die Event IDs (achtung nur Hausnummern, nicht relevant) 1000-1005, 28810, 28903 etc aufgezeichnet werden müssen.

Gibt es irgendwo eine Logik, oder Liste aus der ich ersehen könnte, welche Event ID was genau aufzeichnet ohne dass ich jeden einzelnen fall auflisten muss? Also was is ID 1, was is ID 2 bis eben zum Ende der IDs Nummern?

Vielen Dank im Voruas, bin für jede Hilfe dankbar.

Chris
Mitglied: DerWoWusste
09.03.2010 um 19:47 Uhr
Hi Chris.
Das klingt für mich erstmal noch ungeordnet - sag doch, was Du erreichen möchtest.
alle Tätigkeiten bestimmter Benutzer nach Anmeldung bis zur Abmeldung
-was soll das bringen?
-wer will das wann auswerten und wie?
Was stellst Du Dir unter "alle Tätigkeiten" vor? Alles, also auch starte Outlook, lese Mail xy, öffne den Anhand, öffne den Browser, surfe zu Site xy, öffne dann Dokument xy, stelle dann die Schriftart im Dokument um, kopiere die Datei dann nach...?
Bitte warten ..
Mitglied: Antigon
10.03.2010 um 09:13 Uhr
Ohne da jetzt weit auszuholen, es geht um das Thema Zertifizierung. Unsere Kunden müssen laut Vorgabe Tätigkeiten einiger Benutzer vollständig erfassen und protokollieren. Soweit so gut. Unsere Auditoren müssen bei der Zertifizierung schnell und einfach überprüfen, ob die Vorgaben erfüllt werden.

Ich kenne mich mit MS Systemen eigentlich sehr gut aus, weiss nun wo ich was einstellen muss um z.B. einzelne Tätigkeiten im Eventlog nachvollziehen zu können. Die Probleme sind mehr organisatorischer als technischer Natur, denn einem Linux-Pro kommen mitunter in einzelnen Fällen auch immer wieder MS Computer unter und der ist natürlich net soooooo sicher, und die Gefahr dass ich einzelne Sachen vergesse oder generell net weiss, sind da schon vorhanden.

Mein Ziel ist es, unserem Team eine ID-Liste zur Verfügung zu stellen, anhand der Auditor einfach und sicher überprüfen kann, ob die Vorgaben erfüllt sind, oder nicht. Eine solche Liste von einem aktiven Server abzufragen ist zwar logisch, aber ich kann einfach nicht alle Eventualitäten - MS+MSweb+ASP+MSSQL / MS+Apache+PHP+MySQL etc in 100en Konfigs durchgehen um eine genaue Liste zu erstellen. Deswegen die Frage, ob da jemand einen einfachen Weg kennt diese IDs katgegorisiert auszugeben, oder ob es vielleicht eine maßgebliche Referenzliste irgendwo gibt.

Und ja, alle Tätigkeiten umfasst unter anderem auch das Starten eines Webbrowsers um z.B. administrative Tätigkeiten auf dem IDS, der Firewall oder dem Loadbalancer durchzuführen. Nicht nur um den Admin zu kontrollieren sondern um auch im Falle eines erfolgreichen Angriffs ausreichend Logentries für forensische Tätigkeiten und Beweisfindung zu haben.

Ziemlich saftig, is mir klar, oder geh ich das ganze einfach falsch an?

Chris
Bitte warten ..
Mitglied: DerWoWusste
10.03.2010 um 09:58 Uhr
Das Eventlog protokolliert nicht alles, was Du willst. Du kannst jegliche Dateizugriffe protokollieren lassen, aber Du wirst auf keinen Fall alles dort reinbekommen, was Du suchst. Du wirst nicht sehen, was in den Anwendungen gemacht wurde, nur welche Dateien geöffnet wurden. Auch kann nicht jede Konfigurationsänderung am System aufgezeichnet werden - wie soll das gehen? Der Rechner macht nicht nicht pausenlos vorher-Nachher-Vergleiche.
Bitte warten ..
Mitglied: Antigon
10.03.2010 um 10:19 Uhr
Verstehe, nein gewisse Sachen werden ohnehin durch FIM gelöst. Dass ich zuerst konfigurieren muss, was aufgezeichnet werden soll, ist auch klar. Ebenso dass Applikationen nur dann protokollieren wenn die Entwickler dies auch berücksichtigt haben. Schon klar.

Der Punkt ist, dass durch eine ID-liste unsere Auditoren die, naja, nennen wir das mal die unterste Latte der Sicherheit aufgrund von ID-Aufzeichnungsvorgabe defienieren und auch anhand dieser Liste beim Audit überprüfen können, ob das aufgezeichnet wird.

z.B. User Logon <Administrator> und User Logoff <Administrator>, diese ID ist aufzuzeichnen. Was er genau tut, das kann Windows nicht aufzeichnen, nur bis zu einem gewissen Level. Aber ich möchte protokolliert haben, wenn er z.B. das Log verändert. Oder wenn er den virtuellen Speicher löscht/verändert. Ob er nun auf dem Ding irgendwo herumsurft is ne andere Sache, das interessiert nicht wirklich. Wenn er auf der Firewall rumwerkelt, wird das ohnehin dort protokolliert und über file integrity monitoring gelogt.

Da ich aber nicht alle Eventualitäten und Tätigkeiten vorhersehen kann, wäre es gut zu wissen, welche ID Nummer welches Ereignis aufzeichnet. Deswegen suche ich sowas wie eine Referenzliste. Auf der kann ich mir dann aussuchen, was alles dazugehört, und was nicht.

Wir sprechen hier nicht von einem Betrieb mit einem normalen LAN. Es geht um Rechenzentren, in höchstem Maße abgesichert, und wo wirklich alles und jedes Detail bis ins winzigste aufgezeichnet werden muss. Auch in solchen Umgebungen stoßen wir eben auf MS Server. Und da brauchen wir viel Information. Und eine Liste mit allen Möglichkeiten und bis ins Detail wäre eine große Hilfe. Sonst bleibt mir eh nix übrig, als eben erst die Grunddefnition zu erledigen, und eben nach Bedarf IDs hinzufügen. Und eben alle ID nummern durchzuforsten. man muss ja nicht jedes Rad neu erfinden

Chris
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
gelöst CMD ausgabe in log schreiben (9)

Frage von medikopter zum Thema Batch & Shell ...

Windows 7
gelöst Event 16 MSSOAP (5)

Frage von keine-ahnung zum Thema Windows 7 ...

Batch & Shell
gelöst RoboCopy Log Fehler? (14)

Frage von clragon zum Thema Batch & Shell ...

Debian
Var,log über Webserver anzeigen? (5)

Frage von Motte990 zum Thema Debian ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Linux Desktop
Bildschirmauflösung unter Linux festlegen (12)

Frage von itebob zum Thema Linux Desktop ...

Windows Userverwaltung
gelöst Administrator hat alle Rechte verloren (10)

Frage von mrdead zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Gebäude mit WLAN ausstatten (9)

Frage von udobec zum Thema LAN, WAN, Wireless ...

Windows Server
Kennwort vergessen bei Hyper vserver 2012r (9)

Frage von jensgebken zum Thema Windows Server ...