Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Protokollierung gelöschter Dateien auf einem Fileserver

Frage Microsoft Windows Server

Mitglied: VoDa81

VoDa81 (Level 1) - Jetzt verbinden

23.07.2014 um 13:17 Uhr, 3061 Aufrufe, 7 Kommentare

Hallo Zusammen,

ich habe mal eine Frage. Es sind uns auf einem unserer DFS-Fileserver Daten verloren gegangen, die absichtlich nicht gesichert wurden, da es sich um eine Freigabe für einen reinen Datenaustausch gehandelt hat. Da es inzwischen sehr viel an Daten waren, würde es uns natürlich schon interessieren, wer wann wie welche Daten gelöscht hat.

Jetzt gibt es hier ja verschiedene Möglichkeiten. Was gibt es denn für praktikable Möglichkeiten, die mir z.B. spezielle Ordner "überwachen", ohne dass ich z.B. zusätzliche Hardware (bzgl. Plattenplatz) benötige?

Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen, wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer Zeit das Log explodieren lassen.

Uns geht es also eigentlich nur darum, gelöschte Dateien in speziellen Ordner über einen Zeitraum von 2-3 Tagen protokollieren zu können.

Was gibt es hier für Möglichkeiten (Windows intern / externe Lösungen / etc.) & welche Vorgehensweisen sind zu empfehlen? Würde mich über ein kurzes Feedback sehr freuen.



Besten Dank vorab & schöne Grüße,
Volker
Mitglied: certifiedit.net
23.07.2014 um 13:24 Uhr
Hallo Volker,

es scheint ja nun nicht so zu sein, dass die Daten komplett unwichtig sind. Ein nicht so kritisches Backup wäre daher anzuraten.

Um was für Server handelt es sich denn?

Grüße
Bitte warten ..
Mitglied: colinardo
23.07.2014, aktualisiert um 14:09 Uhr
Moin Volker,
Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen, wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer Zeit das Log explodieren lassen.
Die relevanten Events sich mit einem entsprechenden XPath-Filter einfach ausfiltern:
http://www.administrator.de/forum/automatische-eventlogauswertung-mit-f ...

Diesen XPath Filter kann man entweder mit einem Powershell-Script verwenden welches dann die entsprechenden Events ausfiltert. Oder man baut diesen in eine benutzerdefinierte Filterung im Eventviewer ein.

Folgendes Powershell-Script filtert z.B. Löschaktionen der User aus dem Eventlog und zeigt sie in einer Liste an:
01.
$log = @() 
02.
$events = Get-WinEvent -Logname Security -FilterXPath 'Event[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]' 
03.
foreach($event in $events){ 
04.
    $object = [regex]::Match($event.Message,'Objektname:\s*(.*)').Groups[1].Value 
05.
    $account = [regex]::Match($event.Message,'Kontoname:\s*(.*)').Groups[1].Value 
06.
    $log += new-object PSObject -Property @{"User"=$account;"Objekt"=$object;"Datum"=$event.TimeCreated} 
07.
08.
$log | select User,Objekt,Datum
Ein Eventlog-Filter für diese Einträge könnte so aussehen:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]</Select> 
04.
  </Query> 
05.
</QueryList>
Grüße Uwe
Bitte warten ..
Mitglied: VoDa81
23.07.2014 um 14:09 Uhr
Hi Uwe,

Dank Dir recht herzlich. Das geht aber schon ans Eingemachte. Muss mich da mal was reinfuchsen, gucken ob das hinhaut

Gibt es dazu auch gewisse Alternativen oder ist dies die mit am einfachsten/besten?

Danke nochmals !!!



Beste Grüße,
Volker
Bitte warten ..
Mitglied: colinardo
23.07.2014, aktualisiert um 14:21 Uhr
Gibt es dazu auch gewisse Alternativen oder ist dies die mit am einfachsten/besten?
Objektzugriffsversuche protokollieren lassen und von Windows in einer benutzerdefinierten Eventlog-Ansicht ausfiltern lassen (Filter siehe oben). Kostenlos und effektiv

92842220cfc65f463b77f1bb6a382b09 - Klicke auf das Bild, um es zu vergrößern

383ee2994960c2e167b39c4c20d6289c - Klicke auf das Bild, um es zu vergrößern

9b7f7180c018e51f53777968497eb3b6 - Klicke auf das Bild, um es zu vergrößern

0f637bc3058b64f6ba66ecb9115b5212 - Klicke auf das Bild, um es zu vergrößern

Voila
Bitte warten ..
Mitglied: VoDa81
23.07.2014 um 14:52 Uhr
DANKE
Bitte warten ..
Mitglied: VoDa81
23.07.2014 um 14:55 Uhr
Sorry, Windows 2008 R2 Standard! Komplett unwichtig sind Daten nie, aber generell könnte das für andere Vorfälle ja später interessant werden!
Bitte warten ..
Mitglied: departure69
23.07.2014 um 15:46 Uhr
Zitat von VoDa81:

Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche
überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen,
wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer
Zeit das Log explodieren lassen.


Vor der Log-Explosion schützt ein eigener Syslog-Server.

Hier gibt's ein paar Beispiele:

https://www.google.de/search?q=syslog+server&rls=com.microsoft:de-DE ...






Besten Dank vorab & schöne Grüße,
Volker


Viele Grüße

von

departure69
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
VB for Applications
VBS Script zum versenden mehrerer Verknüpfungen zu Dateien per Lotus Notes

Frage von Sentinel87 zum Thema VB for Applications ...

Windows Server
Server sehr langsam bei vielen kleinen Dateien (5)

Frage von MichiBLNN zum Thema Windows Server ...

Verschlüsselung & Zertifikate
Fileserver Verschlüsseln (16)

Frage von Eisern zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...