Wie unterscheidet man in der Windows Dateiüberwachung zwischen löschen und umbenennen?
Auf einem Netzwerklaufwerk auf einem Win2008R2 Server habe ich die Dateiüberwachung aktiviert. Benutzer "Jeder" und protokolliert wird "Löschen" für alles dort inkl. Unterordner/Dateien.
In einer benutzerdefinierten Ansicht im Eventlog lasse ich nun Event 4660. 4663 anzeigen um zu sehen was gelöscht wird.
Ich stelle jedoch fest, dass im Eventlog auch Umbenennungen als Löschaktion vermerkt werden. Wie kriege ich das denn auseinandergedröselt?
In einer benutzerdefinierten Ansicht im Eventlog lasse ich nun Event 4660. 4663 anzeigen um zu sehen was gelöscht wird.
Ich stelle jedoch fest, dass im Eventlog auch Umbenennungen als Löschaktion vermerkt werden. Wie kriege ich das denn auseinandergedröselt?
Please also mark the comments that contributed to the solution of the article
Content-Key: 339958
Url: https://administrator.de/contentid/339958
Printed on: April 25, 2024 at 21:04 o'clock
3 Comments
Latest comment
Garnicht. In den FileAccess Masks gibt es kein "Umbenennen" in dem Sinne, das besteht dort immer aus zwei Aktionen, nämlich erst Löschen und Erstellen. Noch schlimmer wird's bei Office Dokumenten .
Für sowas nimmst du dann z.B. besser ein Filesystemwatcher (Powershell/c#/etc).
Gruß Bibersbaum
Für sowas nimmst du dann z.B. besser ein Filesystemwatcher (Powershell/c#/etc).
Gruß Bibersbaum