Grobiii 10 Geschrieben 19. Juni 2007 Melden Teilen Geschrieben 19. Juni 2007 Hallo, also ich hab immer wieder das Problem das auf unserem Netzshare Folder verschwinden. Ansich nicht das Ding, da tägliche Backups vorhanden sind. Dennoch interessiert mich natürlich wer das immer war. Der Server (MS Windows 2000) hat ja seine Logs dafür unter /WINNT/SYSTEM32/LOGFILES/... Nur wie seh ich denn da was gelöscht wurde? danke Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 19. Juni 2007 Melden Teilen Geschrieben 19. Juni 2007 Du kannst in den Sicherheitseinstellungen von Dateien und Ordnern unter 'Überwachung' einstellen, welche Aktivitäten überwacht werden sollen. Wenn Du dann noch per Richtlinie die Objektüberwachung aktivierst, kannst Du in der Ereignisanzeige des entspr. Servers die überwachten Vorgänge auslesen. Btw, '/WINNT/SYSTEM32/LOGFILES/...' hat nichts mit der Objektüberwachung zu tun. Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 19. Juni 2007 Melden Teilen Geschrieben 19. Juni 2007 Hi, dafür müßtest du das Filesystemlogging einschalten. Bei einem stark benutzen Server ist das allerdings nicht zu empfehlen, da das log sehr schnell sehr groß wird... ;-) Zudem kommt bei solchen Überwachungen immer auch noch das Thema Betriebsrat etc. hinzu. Gruß [edit]mist nobex war schneller[/edit] Zitieren Link zu diesem Kommentar
Grobiii 10 Geschrieben 19. Juni 2007 Autor Melden Teilen Geschrieben 19. Juni 2007 Danke euch erstmal Aber wo kann ich denn eure Vorschläge einstellen? bzw. ist Filesystemlogging nicht die von mir angesprochenen Logs? Zitieren Link zu diesem Kommentar
Hansi 10 Geschrieben 19. Juni 2007 Melden Teilen Geschrieben 19. Juni 2007 "auf unserem Netzshare Folder verschwinden"..ich würde es erstmal unterbinden! Berechtigungen etc. Denke es ist einfacher das Problem zubeheben anstatt es auszuwerten:D Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 19. Juni 2007 Melden Teilen Geschrieben 19. Juni 2007 Aber wo kann ich denn eure Vorschläge einstellen? Rechtsklick auf den freigegebenen Ordner -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung ... Danach die Überwachungsrichtlinie (lokal oder über OU) nicht vergessen. bzw. ist Filesystemlogging nicht die von mir angesprochenen Logs? Nö Zitieren Link zu diesem Kommentar
Grobiii 10 Geschrieben 19. Juni 2007 Autor Melden Teilen Geschrieben 19. Juni 2007 Rechtsklick auf den freigegebenen Ordner -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung ...Danach die Überwachungsrichtlinie (lokal oder über OU) nicht vergessen. Nö danke! aber wie genau das haben wir schon, zumindest ersteres. Mit der Policy bin ich mir nicht sicher. Wie genau soll diese denn heissen? Computer Configuration/Windows Settings/Local Policies/Auti Policy/....? Und dann besteht halt noch die Frage, in welche Logs wird das dann geschrieben? Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 19. Juni 2007 Melden Teilen Geschrieben 19. Juni 2007 aber wie genau das haben wir schon, zumindest ersteres. Mit der Policy bin ich mir nicht sicher. Wenn Du nur diesen Server überwachen willst, stellst Du die Überwachung am einfachsten in der lokalen Richtline ein: Start -> Ausführen -> gpedit.msc Dort gehst Du unter Computerkonfig -> Windows-Einst. -> Sicherheitseinstellungen -> lok. Richtlinien -> Überwachungsrichtlinien -> Objektzugriffsversuche überwachen Jetzt musst Du entscheiden, ob Du auch die missglückten (fehlgeschlagen) Löschversuche oder nur die Gelungenen sehen willst. Und dann besteht halt noch die Frage, in welche Logs wird das dann geschrieben? Ereignisanzeige -> Sicherheit Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 19. Juni 2007 Melden Teilen Geschrieben 19. Juni 2007 Hallo Johannes, [edit]mist nobex war schneller[/edit] Wir haben uns doch gut ergänzt :) Zitieren Link zu diesem Kommentar
Grobiii 10 Geschrieben 19. Juni 2007 Autor Melden Teilen Geschrieben 19. Juni 2007 Wenn Du nur diesen Server überwachen willst, stellst Du die Überwachung am einfachsten in der lokalen Richtline ein:Start -> Ausführen -> gpedit.msc Dort gehst Du unter Computerkonfig -> Windows-Einst. -> Sicherheitseinstellungen -> lok. Richtlinien -> Überwachungsrichtlinien -> Objektzugriffsversuche überwachen Jetzt musst Du entscheiden, ob Du auch die missglückten (fehlgeschlagen) Löschversuche oder nur die Gelungenen sehen willst. Ereignisanzeige -> Sicherheit Ok, haben wir alles schon so. Aber in der Ereignisanzeige steht nix dolles, bzw. nicht alles. Ich habe vorhin selber auf dem Share ein paar Dateien erstellt und später wieder gelöscht, steht nirgends. :( Kann es damit zusammenhängen das es DFS ist? Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 19. Juni 2007 Melden Teilen Geschrieben 19. Juni 2007 Schau doch mal mit rsop.msc nach, ob die Richtlinie wirklich aktiv ist oder evtl. von einer Anderen 'überschrieben' wurde. Beim DFS müsste m.E. die Überwachung auf allen Servern, welche die Freigabe halten, aktiviert werden. Bin allerdings ein DFS-Noob und vermute dies nur mal so ... Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 19. Juni 2007 Melden Teilen Geschrieben 19. Juni 2007 Außerdem: Wie sieht denn die SACL (Audit-Einstellungen) aus? Welche Art Dateizugriff (Löschen, Erstellen, Lesen, Schreiben etc.) wird denn für welche Konten auditiert? Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.