Win2003 logfile schreiben

[flixs 10]

Hallo

 

gibt es in Win2003 Server die möglichkeit ein logfile der Dateien zu schreiben

 

also das ganze auf einem Fileserver bei dem geloggt werden soll, wer was anlegt bzw löscht etc (via Netzwerkfreigabe)

 

geht das? wenn ja wo und wie??

 

Thx for Tips :)

[nobex 10]

Per Logfile geht das mit Boardmitteln m.E. nicht. Du kannst aber die Überwachung der Objektzugriffe aktivieren und hast dann das Ergebnis in der Ereignisanzeige.

[mazza84 10]

Wo kann die Überwachung der Objektzugriffe aktiviert werden?

[nobex 10]

Entweder lokal über gpedit.msc oder per Gruppenrichtlinien.

Die entspr. Einstellung findest Du unter

Conputerkonfig. -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien

[morro 10]

wenn es in einem unternehmen ist o.ä. muss das vom betriebsrat genehmigt werden

 

edit:soweit ich weiß!!!

[flixs 10]

Entweder lokal über gpedit.msc oder per Gruppenrichtlinien.

Die entspr. Einstellung findest Du unter

Conputerkonfig. -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien

 

 

thx. bekommt man dann auch so Kleinkram wie Ordner löschen angezeigt?

habs auf meinem PC mal aktiviert und ein bisschen gearbeitet aber keinen Eintrag in der Ereignisanzeige bekommen

 

audit object access - failure, success

audit policy change - failure, success

audit process tracking - failure, success

audit system events - failure, success

 

habe ich aktiviert - war das das was du meintest?

kann man dies dann nicht in eine txt Datei umleiten, dann kann man wenigstens nach Textpassagen suchen

 

 

..die Zustimmung das wir das mitloggen dürfen ist übrigens gegeben :)

[nobex 10]

Zusätzlich fehlt nach der Aktivierung der entsp. Protokollierung (audit object access) jetzt noch die Einstellung in den Eigenschaften der konkreten Objekte, welche zu überwachen sind. Diese findest Du unter Datei-, Ordner- oder Laufwerkseigenschaften unter

der Registerkarte Sicherheit -> Erweitert -> Registerkarte Überwachung.

[BrainStorm 10]

...

kann man dies dann nicht in eine txt Datei umleiten, dann kann man wenigstens nach Textpassagen suchen

...

 

Umleiten in eine TXT Datei funktioniert meines Wissens nach nicht. Aber du kannst dir mal den Download details: Log Parser 2.2 anschauen. Sehr mächtiges Tool

 

Grüssle

BrainStorm

[flixs 10]

Umleiten in eine TXT Datei funktioniert meines Wissens nach nicht. Aber du kannst dir mal den Download details: Log Parser 2.2 anschauen. Sehr mächtiges Tool

 

Grüssle

BrainStorm

 

puh sieht in der tat sehr mächtig aus..da brauchste ja nen Führerschein zu ^^.. und Dos basiert :suspect:

kann das denn mitloggen wer änderungen an Dateien/Ordnern vorgenommen hat? ..ist mir jetzt aus zahlreichen Beschreibungen nicht so schlüssig geworden

[BrainStorm 10]

Nein, mitloggen kann das Tool leider nicht, alle Zugriffsversuche landen durch die aktivierte Objektzugriffsoption in der Ereignisanzeige.

Mit dem Logparser kannst du dann die Events die dich interessieren in eine Txt Datei schreiben lassen - ggf. über eine kleine Batch und den "Geplanten Tasks"

[flixs 10]

ich glaub ich habs so langsam

das löschen von Ordner und Dateien wird nun mitgeloggt... jetzt gilts nur noch das auszulesen

 

jetzt bin ich nicht so der ganz Programierfeste User... kannst du mir da weiterhelfen

alle löschevents haben bei mir die Kennung 560, dort steht dann auch wer es gelöscht und vor allem welche Datei genau.. das bräuchte ich nun in einer relativ übersichtlichen Datei, txt xml ist egal

 

D:\Programme\LogParser>logparser -i:EVT -o:XML "SELECT * FROM Sicherheit INTO repo

rt.xml WHERE ereigniskennung= 560"

 

Error: Syntax Error: extra token(s) after query: 'INTO'

 

wie bekomme ich da jetzt die Kurve das es klappt?!

[BrainStorm 10]

Hallo Flixs

 

Versuch es doch mal mit folgendem einfachen Syntax:

 

LogParser.exe "Select * into report.txt FROM Security Where EventID = 560"

 

 

Wenn du noch weiter filtern möchtest, melde dich nochmal ;)

[thumb 10]

Hallo zusammen,

 

das WMI Script überwacht ein Verzeichnis und gibt beim Löschen und beim Erstellen von Dateien in einem Verzeichnis (C:\Scripts) entsprechende Meldungen aus. Das Script ist aus dem MS Scripting Repository, Scripting Guy ....oder der Ecke...., weiss nicht mehr genau woher.

 

Grüße, thumb

 

strComputer = "."

Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")

 

Set colMonitoredEvents = objWMIService.ExecNotificationQuery _

("SELECT * FROM __InstanceOperationEvent WITHIN 10 WHERE " _

& "Targetinstance ISA 'CIM_DirectoryContainsFile' and " _

& "TargetInstance.GroupComponent= " _

& "'Win32_Directory.Name=""c:\\\\scripts""'")

 

Do While TRUE

Set objEventObject = colMonitoredEvents.NextEvent()

 

Select Case objEventObject.Path_.Class

Case "__InstanceCreationEvent"

Wscript.Echo "A new file was just created: " & _

objEventObject.TargetInstance.PartComponent

Case "__InstanceDeletionEvent"

Wscript.Echo "A file was just deleted: " & _

objEventObject.TargetInstance.PartComponent

End Select

Loop

 

PS: Statt der Echos musst Du eine kleine Subroutine schreiben, die in ein Log schreibt. Wenn Du Probleme haben solltest, melde Dich.

[flixs 10]

EventLog RecordNumber TimeGenerated       TimeWritten         EventID EventType EventTypeName       EventCategory EventCategoryName SourceName Strings                                                                                                                                                                                     ComputerName SID                                         Message                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             Data 
-------- ------------ ------------------- ------------------- ------- --------- ------------------- ------------- ----------------- ---------- ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------ ------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------
Security 25           2007-10-09 14:52:54 2007-10-09 14:52:54 560     8         Success Audit event 3             Objektzugriff     Security   Security|File|C:\Drivers\Kopie (2) von Neu Bitmap.bmp|2196|0|4052379|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537
		%%1538
		%%4423
		|-|0          WINDOWSPC    S-1-5-21-329068152-117609710-1644491937-500 Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: C:\Drivers\Kopie (2) von Neu Bitmap.bmp Handlekennung: 2196 Vorgangskennung: {0,4052379} Prozesskennung: 1504 Abbilddateiname: C:\WINDOWS\explorer.exe Primärer Benutzername: Administrator Primäre Domäne: WINDOWSPC Primäre Anmeldekennung: (0x0,0x98F7) Clientbenutzername: - Clientdomäne: - Clientanmeldekennung: - Zugriffe: LÖSCHEN LESEN_KONTROLLE Attribute lesen Rechte: - Beschränkte SID-Anzahl: 0                <NULL>
Security 29           2007-10-09 14:52:54 2007-10-09 14:52:54 560     8         Success Audit event 3             Objektzugriff     Security   Security|File|C:\Drivers\Kopie (2) von Neu Bitmap.bmp|2196|0|4052392|1504|C:\WINDOWS\explorer.exe|Administrator|WINDOWSPC|(0x0,0x98F7)|-|-|-|%%1537
		%%1541
		%%4423
		|-|0          WINDOWSPC    S-1-5-21-329068152-117609710-1644491937-500 Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: C:\Drivers\Kopie (2) von Neu Bitmap.bmp Handlekennung: 2196 Vorgangskennung: {0,4052392} Prozesskennung: 1504 Abbilddateiname: C:\WINDOWS\explorer.exe Primärer Benutzername: Administrator Primäre Domäne: WINDOWSPC Primäre Anmeldekennung: (0x0,0x98F7) Clientbenutzername: - Clientdomäne: - Clientanmeldekennung: - Zugriffe: LÖSCHEN SYNCHRONISIEREN Attribute lesen Rechte: - Beschränkte SID-Anzahl: 0                <NULL>

 

@Brainstorm

das kommt dabei raus, kann man nur einzelen Spalten abfragen? mir würde es ja reichen Zeit, User und die Datei reichen die er verändert hat (gelöscht hat) zu bekommen, bekomme aber viele Fehlermeldungen sobald ich was in der Zeile hinzufüge -.-

 

 

@thumb

das klingt auch nach klein und praktisch

wo starte ich das script denn dann und läuft es dann immer mit?

 

beim Code anpassen bräuchte ich wirklich hilfe.. :)

Danke schonmal

[thumb 10]

Hallo flixs,

 

Du startest den Code auf dem Server der das zu überwachende Verzeichnis beherbergt. Das Script muss immer laufen, ich habe das mal als Dienst implementiert (mit srvany.exe), habe schon danach gesucht, aber bisher noch nicht gefunden.

 

Grüße, thumb

 

PS: Deine LOGPARSER Lösung funktioniert ja auch wie ich sehe. Verwende mal statt "SELECT *", "SELECT EventLog", dann sollte nur noch eine Spalte in Deinem Log stehen. Wen dem so ist, kannst Du die Spalten die Du haben willst durch ein Komma getrennt angeben, also "SELECT Spalte1, Spalte2, Spalte3". So ist es jedenfalls in SQL und das tool verwendet anscheinend SQL Syntax.