14078
Jan 28, 2006
5691
0
0
Sicherheitsprotokoll im Active Directory
Hi,
stellt euch mal folgendes vor:
Etliche Windows 2003 Server ( im AD ) an denen 2 - 5 TB Raidsysteme angeschlossen sind.
Darauf befindet sich eine Ordnerstrucktur, welche in erster ebene nicht veraendert wird, aber darunter kann alles moegliche passieren.
loeschen, verschieben, renamen, alles.
damit ich nachvollziehen kann wer was wo wie und wann geloescht, verschoben oder sonstwie bewegt/editiert hat, habe ich das auditing eingeschaltet.
dies hat zur folge das mein eventlog mit 420mb vollgeschrieben ist. nicht das es unuebersichtlich waere, ich kann mir auch nur schwer vorstellen das sowas gut fuer den server sein kann. neben der i/o performance wegen dem raid und dem netzwerk share kann ich mir nicht vorstellen das ein 420mb log, das jedesmal neu gefuellt wird, die performance des ganzen erhoet.
aber mit welchen tools oder sonstigen mitteln kann ich sowas protokollieren. was nutzt ihr ?
note: auch kommt hinzu das manche programme einen "fehlalarm" verursachen, weil sie eine .TMP datei z.b. mit auf das laufwerk schreiben, welches beim speichern der datei im client wieder weg ist. natuerlich ist das fuer den windows 2003 server auch ein delete vorgang der protokolliert wird, sowas muellt ungemein das log voll.
stellt euch mal folgendes vor:
Etliche Windows 2003 Server ( im AD ) an denen 2 - 5 TB Raidsysteme angeschlossen sind.
Darauf befindet sich eine Ordnerstrucktur, welche in erster ebene nicht veraendert wird, aber darunter kann alles moegliche passieren.
loeschen, verschieben, renamen, alles.
damit ich nachvollziehen kann wer was wo wie und wann geloescht, verschoben oder sonstwie bewegt/editiert hat, habe ich das auditing eingeschaltet.
dies hat zur folge das mein eventlog mit 420mb vollgeschrieben ist. nicht das es unuebersichtlich waere, ich kann mir auch nur schwer vorstellen das sowas gut fuer den server sein kann. neben der i/o performance wegen dem raid und dem netzwerk share kann ich mir nicht vorstellen das ein 420mb log, das jedesmal neu gefuellt wird, die performance des ganzen erhoet.
aber mit welchen tools oder sonstigen mitteln kann ich sowas protokollieren. was nutzt ihr ?
note: auch kommt hinzu das manche programme einen "fehlalarm" verursachen, weil sie eine .TMP datei z.b. mit auf das laufwerk schreiben, welches beim speichern der datei im client wieder weg ist. natuerlich ist das fuer den windows 2003 server auch ein delete vorgang der protokolliert wird, sowas muellt ungemein das log voll.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 24728
Url: https://administrator.de/contentid/24728
Printed on: April 18, 2024 at 09:04 o'clock
