Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Protokollierung gelöschter Dateien auf einem Fileserver

Frage Microsoft Windows Server

Mitglied: VoDa81

VoDa81 (Level 1) - Jetzt verbinden

23.07.2014 um 13:17 Uhr, 3662 Aufrufe, 7 Kommentare

Hallo Zusammen,

ich habe mal eine Frage. Es sind uns auf einem unserer DFS-Fileserver Daten verloren gegangen, die absichtlich nicht gesichert wurden, da es sich um eine Freigabe für einen reinen Datenaustausch gehandelt hat. Da es inzwischen sehr viel an Daten waren, würde es uns natürlich schon interessieren, wer wann wie welche Daten gelöscht hat.

Jetzt gibt es hier ja verschiedene Möglichkeiten. Was gibt es denn für praktikable Möglichkeiten, die mir z.B. spezielle Ordner "überwachen", ohne dass ich z.B. zusätzliche Hardware (bzgl. Plattenplatz) benötige?

Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen, wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer Zeit das Log explodieren lassen.

Uns geht es also eigentlich nur darum, gelöschte Dateien in speziellen Ordner über einen Zeitraum von 2-3 Tagen protokollieren zu können.

Was gibt es hier für Möglichkeiten (Windows intern / externe Lösungen / etc.) & welche Vorgehensweisen sind zu empfehlen? Würde mich über ein kurzes Feedback sehr freuen.



Besten Dank vorab & schöne Grüße,
Volker
Mitglied: certifiedit.net
23.07.2014 um 13:24 Uhr
Hallo Volker,

es scheint ja nun nicht so zu sein, dass die Daten komplett unwichtig sind. Ein nicht so kritisches Backup wäre daher anzuraten.

Um was für Server handelt es sich denn?

Grüße
Bitte warten ..
Mitglied: colinardo
23.07.2014, aktualisiert um 14:09 Uhr
Moin Volker,
Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen, wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer Zeit das Log explodieren lassen.
Die relevanten Events sich mit einem entsprechenden XPath-Filter einfach ausfiltern:
http://www.administrator.de/forum/automatische-eventlogauswertung-mit-f ...

Diesen XPath Filter kann man entweder mit einem Powershell-Script verwenden welches dann die entsprechenden Events ausfiltert. Oder man baut diesen in eine benutzerdefinierte Filterung im Eventviewer ein.

Folgendes Powershell-Script filtert z.B. Löschaktionen der User aus dem Eventlog und zeigt sie in einer Liste an:
01.
$log = @() 
02.
$events = Get-WinEvent -Logname Security -FilterXPath 'Event[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]' 
03.
foreach($event in $events){ 
04.
    $object = [regex]::Match($event.Message,'Objektname:\s*(.*)').Groups[1].Value 
05.
    $account = [regex]::Match($event.Message,'Kontoname:\s*(.*)').Groups[1].Value 
06.
    $log += new-object PSObject -Property @{"User"=$account;"Objekt"=$object;"Datum"=$event.TimeCreated} 
07.
08.
$log | select User,Objekt,Datum
Ein Eventlog-Filter für diese Einträge könnte so aussehen:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]</Select> 
04.
  </Query> 
05.
</QueryList>
Grüße Uwe
Bitte warten ..
Mitglied: VoDa81
23.07.2014 um 14:09 Uhr
Hi Uwe,

Dank Dir recht herzlich. Das geht aber schon ans Eingemachte. Muss mich da mal was reinfuchsen, gucken ob das hinhaut

Gibt es dazu auch gewisse Alternativen oder ist dies die mit am einfachsten/besten?

Danke nochmals !!!



Beste Grüße,
Volker
Bitte warten ..
Mitglied: colinardo
23.07.2014, aktualisiert um 14:21 Uhr
Gibt es dazu auch gewisse Alternativen oder ist dies die mit am einfachsten/besten?
Objektzugriffsversuche protokollieren lassen und von Windows in einer benutzerdefinierten Eventlog-Ansicht ausfiltern lassen (Filter siehe oben). Kostenlos und effektiv

92842220cfc65f463b77f1bb6a382b09 - Klicke auf das Bild, um es zu vergrößern

383ee2994960c2e167b39c4c20d6289c - Klicke auf das Bild, um es zu vergrößern

9b7f7180c018e51f53777968497eb3b6 - Klicke auf das Bild, um es zu vergrößern

0f637bc3058b64f6ba66ecb9115b5212 - Klicke auf das Bild, um es zu vergrößern

Voila
Bitte warten ..
Mitglied: VoDa81
23.07.2014 um 14:52 Uhr
DANKE
Bitte warten ..
Mitglied: VoDa81
23.07.2014 um 14:55 Uhr
Sorry, Windows 2008 R2 Standard! Komplett unwichtig sind Daten nie, aber generell könnte das für andere Vorfälle ja später interessant werden!
Bitte warten ..
Mitglied: departure69
23.07.2014 um 15:46 Uhr
Zitat von VoDa81:

Wir haben dies auch schon mal mit einer lokalen Sicherheitsrichtlinie (Überwachungsrichtlinie) "Objektzugriffsversuche
überwachen" ausprobiert, aber hier explodiert das Log ja in Kürze der Zeit. Es würde uns ja auch ausreichen,
wenn die gelöschten Dateien protokolliert werden, nicht alle Zugriffe auf irgendwelche Objektaktionen, die dann in kurzer
Zeit das Log explodieren lassen.


Vor der Log-Explosion schützt ein eigener Syslog-Server.

Hier gibt's ein paar Beispiele:

https://www.google.de/search?q=syslog+server&rls=com.microsoft:de-DE ...






Besten Dank vorab & schöne Grüße,
Volker


Viele Grüße

von

departure69
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
gelöst Löschen von Dateien nach bestimmten Zeitmuster (8)

Frage von NetzwerkDude zum Thema Batch & Shell ...

SAN, NAS, DAS
gelöst Synchronisation großer Dateien (14)

Frage von ThinkBad zum Thema SAN, NAS, DAS ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Windows Systemdateien
NTFS und die Defragmentierung (26)

Frage von WinLiCLI zum Thema Windows Systemdateien ...

LAN, WAN, Wireless
Zwei Subnetze mit je eigenem Router und Internetzugang verbinden (18)

Frage von hannsgmaulwurf zum Thema LAN, WAN, Wireless ...

Windows Server
WIndows Server 2016 core auf dem Intel NUC NUC5i5RYK i5 5250U (17)

Frage von IxxZett zum Thema Windows Server ...