Balubär 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Ich würde gerne eine Objektüberwachung für ein Netzlaufwerk ( auf dem Server nat. c:\home) einrichten. Habe die Objektüberwachung für den ordner Eingeschaltet und in den Gruppenrichtlinien die Objektüberwachung eingeschaltet. Nun wächst mein Sicherheitslog aber rasant. 200 MB in 1 Stunde ! Auch ist es nicht einfach das entsprechende Event zu finden. Gibts denn keine einfache Möglichkeit "Löschüberwachung" für einen Ordner+Unterordner zu implementieren. ?? Ich bräuchte irgendwas dass mir einfach nur alle Löschvorgänge in diesem Ordner protokolliert. Nicht mehr und nicht weniger ;-) Bestimmt wisst ihr da was, oder ? Danke, danke, danke balu Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Hallo, Gibts denn keine einfache Möglichkeit "Löschüberwachung" für einen Ordner+Unterordner zu implementieren. ?? wenn Du den Überwachungseintrag (in den Ordnereigenschaften) bearbeitest, kannst Du genau die zu überwachenden Handlungen auswählen, u.a. auch Löschen (Erfolg/Fehler). Gruß Robert Zitieren Link zu diesem Kommentar
Balubär 10 Geschrieben 13. April 2007 Autor Melden Teilen Geschrieben 13. April 2007 Hallo, wenn Du den Überwachungseintrag (in den Ordnereigenschaften) bearbeitest, kannst Du genau die zu überwachenden Handlungen auswählen, u.a. auch Löschen (Erfolg/Fehler). Gruß Robert Danke, das habe ich schon gemacht. Evtl. liegt das Problem bei ntsyslog. Hatte das programm mal installiert und das erzeugt anscheinend nun ziemlich viele Eventlogeinträge. Mal schauen...... Denn 400 Mbyte Eventlogeinträge in 2-3 Stunden ist halt doch zuviel ;-) Oder ist das normal ? Welche Ereignisskennungen deuten denn auf Löschen von ordnern und Dateien hin ? 567 ? 563 ? 564 ? *grübel* Im Eventlog steht z. bsp.: ------------------------------------------------------------------------------------------------ Objektzugriffsversuch: Objektserver: Security Handlekennung: 2036 Objekttyp: File Prozesskennung: 3820 Abbilddateiname: C:\WINDOWS\explorer.exe Zugriffe: DELETE Zugriffsmaske: 0x10000 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. ------------------------------------------------------------------------------------------------ Woher weiss ich nun welche Datei gelöscht wurde ? Balu Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 hier ist ein ganz einfaches VB-Proramm, mit dem du ein Verzeichnis ueberwachen kannst. Die Aktionen werden in eine Textdatei ausgegeben. Eine Ueberwachung der Untererverzeihnisse gibt die verwendete Klasse Filesystemwatcher leider nicht her. Einfach das Programm starten, Eingaben setzen und laufen lassen. Vielleicht hilfts dir schon cu blub filewatcher.zip Zitieren Link zu diesem Kommentar
Balubär 10 Geschrieben 13. April 2007 Autor Melden Teilen Geschrieben 13. April 2007 hier ist ein ganz einfaches VB-Proramm, mit dem du ein Verzeichnis ueberwachen kannst. Die Aktionen werden in eine Textdatei ausgegeben. Eine Ueberwachung der Untererverzeihnisse gibt die verwendete Klasse Filesystemwatcher leider nicht her. Einfach das Programm starten, Eingaben setzen und laufen lassen. Vielleicht hilfts dir schon cu blub Das wäre perfekt. Das mit den Unterverzeichnissen funktioniert doch !???? Was jetzt noch fehlen würde: Computername (1234.txt wurde von Computer "Chef" gelöscht) Mei, dann wäre ich glücklich :rolleyes: -------------------------------------------------------------------------------------- die Filtereingaben wurden verändert um 13.04.2007 18:25:39 die Filtereingaben wurden verändert um 13.04.2007 18:26:17 Die Datei c:\temp\neu textdatei.txt wurde dem Directory hinzugefügt um 13.04.2007 18:26:55 Die Datei c:\temp\312312i.txt wurde gelöscht um 13.04.2007 18:27:25 Die Datei c:\temp\neuer ordner wurde dem Directory hinzugefügt um 13.04.2007 18:27:46 Die Datei c:\temp\234\neu textdatei.txt wurde dem Directory hinzugefügt um 13.04.2007 18:27:51 Die Datei c:\temp\234 wurde verändert um 13.04.2007 18:27:51 Die Datei c:\temp\234 wurde verändert um 13.04.2007 18:27:56 Die Datei c:\temp\234\234.txt wurde gelöscht um 13.04.2007 18:28:08 Die Datei c:\temp\234 wurde verändert um 13.04.2007 18:28:08 ---------------------------------------------------------------------------------------------- Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 14. April 2007 Melden Teilen Geschrieben 14. April 2007 da hat sich offenbar was im .Net Framework 2.0 zum besseren geaendert :) Ich werde mal probieren, ob ich das Programm noch ein bischen tunen kann. Allerdings komme ich erst in 14 Tagen wieder an meine Entwicklungsumgebung. cu blub Zitieren Link zu diesem Kommentar
Balubär 10 Geschrieben 15. April 2007 Autor Melden Teilen Geschrieben 15. April 2007 da hat sich offenbar was im .Net Framework 2.0 zum besseren geaendert :) Ich werde mal probieren, ob ich das Programm noch ein bischen tunen kann. Allerdings komme ich erst in 14 Tagen wieder an meine Entwicklungsumgebung. cu blub Cool :cool: ..... Ich reservier dir dann schon mal einen Platz in meinem Testament :rolleyes: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.