Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Protokollierung gelöschter Dateien auf einem Fileserver

Frage Microsoft Windows Server

Mitglied: VoDa81

VoDa81 (Level 1) - Jetzt verbinden

23.07.2014 um 13:17 Uhr, 3524 Aufrufe, 7 Kommentare

Hallo Zusammen,

ich habe mal eine Frage. Es sind uns auf einem unserer DFS-Fileserver Daten verloren gegangen, die absichtlich nicht gesichert wurden, da es sich um eine Freigabe für einen reinen Datenaustausch gehandelt hat. Da es inzwischen sehr viel an Daten waren, würde es uns natürlich schon interessieren, wer wann wie welche Daten gelöscht hat.

Jetzt gibt es hier ja verschiedene Möglichkeiten. Was gibt es denn für praktikable Möglichkeiten, die mir z.B. spezielle Ordner "überwachen", ohne dass ich z.B. zusätzliche Hardware (bzgl. Plattenplatz) benötige?

Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen, wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer Zeit das Log explodieren lassen.

Uns geht es also eigentlich nur darum, gelöschte Dateien in speziellen Ordner über einen Zeitraum von 2-3 Tagen protokollieren zu können.

Was gibt es hier für Möglichkeiten (Windows intern / externe Lösungen / etc.) & welche Vorgehensweisen sind zu empfehlen? Würde mich über ein kurzes Feedback sehr freuen.



Besten Dank vorab & schöne Grüße,
Volker
Mitglied: certifiedit.net
23.07.2014 um 13:24 Uhr
Hallo Volker,

es scheint ja nun nicht so zu sein, dass die Daten komplett unwichtig sind. Ein nicht so kritisches Backup wäre daher anzuraten.

Um was für Server handelt es sich denn?

Grüße
Bitte warten ..
Mitglied: colinardo
23.07.2014, aktualisiert um 14:09 Uhr
Moin Volker,
Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen, wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer Zeit das Log explodieren lassen.
Die relevanten Events sich mit einem entsprechenden XPath-Filter einfach ausfiltern:
http://www.administrator.de/forum/automatische-eventlogauswertung-mit-f ...

Diesen XPath Filter kann man entweder mit einem Powershell-Script verwenden welches dann die entsprechenden Events ausfiltert. Oder man baut diesen in eine benutzerdefinierte Filterung im Eventviewer ein.

Folgendes Powershell-Script filtert z.B. Löschaktionen der User aus dem Eventlog und zeigt sie in einer Liste an:
01.
$log = @() 
02.
$events = Get-WinEvent -Logname Security -FilterXPath 'Event[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]' 
03.
foreach($event in $events){ 
04.
    $object = [regex]::Match($event.Message,'Objektname:\s*(.*)').Groups[1].Value 
05.
    $account = [regex]::Match($event.Message,'Kontoname:\s*(.*)').Groups[1].Value 
06.
    $log += new-object PSObject -Property @{"User"=$account;"Objekt"=$object;"Datum"=$event.TimeCreated} 
07.
08.
$log | select User,Objekt,Datum
Ein Eventlog-Filter für diese Einträge könnte so aussehen:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]</Select> 
04.
  </Query> 
05.
</QueryList>
Grüße Uwe
Bitte warten ..
Mitglied: VoDa81
23.07.2014 um 14:09 Uhr
Hi Uwe,

Dank Dir recht herzlich. Das geht aber schon ans Eingemachte. Muss mich da mal was reinfuchsen, gucken ob das hinhaut

Gibt es dazu auch gewisse Alternativen oder ist dies die mit am einfachsten/besten?

Danke nochmals !!!



Beste Grüße,
Volker
Bitte warten ..
Mitglied: colinardo
23.07.2014, aktualisiert um 14:21 Uhr
Gibt es dazu auch gewisse Alternativen oder ist dies die mit am einfachsten/besten?
Objektzugriffsversuche protokollieren lassen und von Windows in einer benutzerdefinierten Eventlog-Ansicht ausfiltern lassen (Filter siehe oben). Kostenlos und effektiv

92842220cfc65f463b77f1bb6a382b09 - Klicke auf das Bild, um es zu vergrößern

383ee2994960c2e167b39c4c20d6289c - Klicke auf das Bild, um es zu vergrößern

9b7f7180c018e51f53777968497eb3b6 - Klicke auf das Bild, um es zu vergrößern

0f637bc3058b64f6ba66ecb9115b5212 - Klicke auf das Bild, um es zu vergrößern

Voila
Bitte warten ..
Mitglied: VoDa81
23.07.2014 um 14:52 Uhr
DANKE
Bitte warten ..
Mitglied: VoDa81
23.07.2014 um 14:55 Uhr
Sorry, Windows 2008 R2 Standard! Komplett unwichtig sind Daten nie, aber generell könnte das für andere Vorfälle ja später interessant werden!
Bitte warten ..
Mitglied: departure69
23.07.2014 um 15:46 Uhr
Zitat von VoDa81:

Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche
überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen,
wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer
Zeit das Log explodieren lassen.


Vor der Log-Explosion schützt ein eigener Syslog-Server.

Hier gibt's ein paar Beispiele:

https://www.google.de/search?q=syslog+server&rls=com.microsoft:de-DE ...






Besten Dank vorab & schöne Grüße,
Volker


Viele Grüße

von

departure69
Bitte warten ..
Ähnliche Inhalte
Windows Server
Sicherung Fileserver (10)

Frage von michi-ffm zum Thema Windows Server ...

Batch & Shell
Dateien nach Datum verschieben (4)

Frage von LOWTIM zum Thema Batch & Shell ...

Outlook & Mail
Keine RFCs in gesendeten Dateien bei Outlook 2010 (5)

Frage von Laufenfeuer zum Thema Outlook & Mail ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (16)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

CMS
Lokales Wordpress im LAN - wie aufsetzen? (15)

Frage von Static zum Thema CMS ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (12)

Frage von guntis zum Thema LAN, WAN, Wireless ...

Windows Server
Druck wird nicht erlaubt (10)

Frage von daquick zum Thema Windows Server ...