37958
Goto Top

Windows Server 2008 R2, Ordner und Unterordner überwachen auf Löschen von Dateien oder Ordner

Hi,
gibt es eine Möglichkeit, einen Ordner zu überwachen, wer wann was gelöscht hat?

Es verschwinden immer mal wieder SolidEdge Baugruppen und keiner wars.

Ich hab da über Eigenschaften, Sicherheit, Erweitert, Überwachung, Bearbeitung was gefunden.
Dort dann hinzufügen, JEDER (Ich hoffe Admin, Systemdienste, Kaspersky und die Benutzer und Gruppen sind mit JEDER gemeint).

Dann hab ich mal Dateien erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Unterornder und Dateien löschen
Löschen

Angehakt sind da sowohl ERFOLG als auch FEHLER.
Übernehmen für Diesen Ordner, Unterordner und Dateien.

Nicht angehakt ist Überwachungseinträge nur für Objekte und/oder Container deses Containers übernehmen.


So. Dann hab ich als Admin auf dem Server mal in dem zu überwachenden Ordner ein Verzeichnis erstellt. Eine Datei erstellt.
Dann die Datei gelöscht. Ich finde aber nix in der Ereignisanzeige.
Wo müßte ich denn da was finden?

Grüße

Heinz

Content-Key: 330171

Url: https://administrator.de/contentid/330171

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: 132272
132272 22.02.2017 um 11:09:43 Uhr
Goto Top
Mitglied: 37958
37958 22.02.2017 um 11:13:34 Uhr
Goto Top
Hi,
Sorry ich seh da nur Bahnhof.
Mitglied: 132272
132272 22.02.2017 aktualisiert um 11:16:13 Uhr
Goto Top
What???? Du machst es dir aber schön einfach...
Und mit den Bildchen kriegt das dann noch jeder Hinz hin.

Du hast vergessen die Protokollierung in der lokalen Sicherheitsrichtlinie (secpol.msc) für die Dateisystemüberwachung zu aktivieren.
Mitglied: 37958
37958 22.02.2017 um 11:22:39 Uhr
Goto Top
Die Überwachung des Ordners, wie oben beschrieben ist aber schon richtig?

secpol.msc: lokale Richtlinien, Überwachungsrichtlinie, ...

Da gibt es:
Anmeldeereignisse
Anmeldeversuche
Kontenverwaltung
Objektzugriffsversuche
Prozessnachverfolgung
Rechteverwendung
Richtlinienänderung
Systemereignisse
Verzeichnisdienstzugriff

Ich tippe auf Systemereignis?
Mitglied: 132272
132272 22.02.2017 aktualisiert um 11:26:21 Uhr
Goto Top
Nein, Objektzugriffsversuche.
Es gibt dort auch noch eine Richtlinie mit der man genauer definieren kann was im Dateisystem geloggt wird.
ganz unten ...

Hier steht's doch min Jung
https://technet.microsoft.com/en-us/library/dn319056(v=ws.11).aspx
Mitglied: 37958
37958 22.02.2017 um 11:34:56 Uhr
Goto Top
Ja, jetzt wird in der Ereignisanzeige unter Sicherheit alles Protokoliert.
Leider wirklich alles, nicht nur der Ordner, den ich überwachen wollte und dann auch noch ohne Unterscheidung.
Schön wäre gewesen, wenn man nur das sieht, wenn etwas gelöscht wird.

Kann man das noch eingrenzen?
Mitglied: 37958
37958 22.02.2017 um 11:52:12 Uhr
Goto Top
Hi,
wenn ich die Lokale Sicherheitsrichtline auf meinem Server geöffnet habe, weiß ich nach dem Durchlesen des Artikels noch nicht, was ich dort dann machen sollte, um das gewünschte Ergebnis zu bekommen.

Trotzdem danke für deine Hilfe.

Bei dem ganzen gelogge - kann ich das mir irgendwie schön gefiltert anschauen oder nach "Inhalt" durchsuchen?
Mitglied: 132272
Lösung 132272 22.02.2017 aktualisiert um 12:34:56 Uhr
Goto Top
Zitat von @37958:

Ja, jetzt wird in der Ereignisanzeige unter Sicherheit alles Protokoliert.
Leider wirklich alles, nicht nur der Ordner, den ich überwachen wollte und dann auch noch ohne Unterscheidung.
Schön wäre gewesen, wenn man nur das sieht, wenn etwas gelöscht wird.

Kann man das noch eingrenzen?
Hast du den Beitrag oben im Link wirklich komplett gelesen?? Ich glaube nicht! face-sad Dort steht es mit Bildchen Schritt für Schritt wie das gemacht wird!
Einfach eine Ansicht im Protokoll Sicherheit erstellen und den XML-Filter angeben, schon stehen dort z.B. nur noch Löschungen.
Mitglied: 37958
37958 22.02.2017 um 13:26:01 Uhr
Goto Top
Also,
Ereignisanzeige, Benutzerdefinierte Ansicht, manuell Bearbeiten, auf XML gehen,
dann den Inhalt reinkopieren:
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]</Select>  
  </Query>
</QueryList>
Und die Übersicht kommt mit nur den gelöschten Dateien. Das ist schon mal wirklich super.

Wenn die Protokolierung nun nur noch die gelöschten protokolieren würde, wäre das eine Perfekte Lösung.

Aber schon mal vielen Dank für die Hilfe, war wirklich Zielführend.

Grüße

Heinz
Mitglied: bennnib
bennnib 09.03.2017 um 18:26:37 Uhr
Goto Top
Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12811"] and EventData[Data[@Name="AccessMask"]="0x10080"]]</Select>  
  </Query>
</QueryList>

Grüße Benni
Mitglied: 132658
132658 09.03.2017 aktualisiert um 18:51:27 Uhr
Goto Top
Zitat von @bennnib:

Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:

<QueryList>
>   <Query Id="0" Path="Security">  
>     <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12811"] and EventData[Data[@Name="AccessMask"]="0x10080"]]</Select>  
>   </Query>
> </QueryList>

Hi,
"AccessMask"]="0x10080"
das trifft in dann aber nur zu wenn folgende beiden Zugriffe zusammenfallen:
- Dateiattribute lesen
- Löschen

Gruß schnappi
Mitglied: bennnib
bennnib 09.03.2017 um 18:58:53 Uhr
Goto Top
Hi schnappi,

ok, bei mir stehen keine anderen Objektzugriffüberwachungslogs drin, daher bin ich davon ausgegangen, dass das so passt.

Gruß Benni
Mitglied: 132658
132658 09.03.2017 aktualisiert um 19:11:26 Uhr
Goto Top
Besser immer nachprüfen face-wink. Hier ein kleines PS-Skript für die AccessMask
function Get-RightsFromAccessMask {
param(
    [parameter(mandatory=$true)][int32]$mask
)

$htmask = [ordered] @{
    1 = 'Lesen / Auflisten'  
    2 = 'Schreiben / Dateien erstellen'  
    4 = 'Anhängen / Unterordner erstellen'  
    8 = 'Erweiterte Attribute lesen'  
    16 = 'Erweiterte Attribute schreiben.'  
    32 = 'Dateien ausführen / Verzeichnisse auflisten'  
    64 = 'Ordner löschen'  
    128 = 'Dateiattribute lesen'  
    256 = 'Dateiattribute ändern'  
    65536 = 'Löschen'  
    131072 = 'Lesezugriff auf Security ACL und Besitzer'  
    262144 = 'Schreibzugriff DACL'  
    524288 = 'Besitzer ändern'  
    1048576 = 'Synchronisation'  
}
    $htmask.Keys.GetEnumerator() | ?{$mask -band $_} | %{write-host "-"$htmask.$_ -F Green}  
}

Get-RightsFromAccessMask -mask 0x10080