BlackDragonE 10 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 Guten Tag, da in Italien ein neues Datensicherheitsgesetz in Kraft getreten ist, müssen wir nun in der Firma jedes mal wenn sich ein Admin einloggt und was macht dies Protokolien. In der Ereignisanzeige unter Sicherheit wird dies ja auch meist gemacht, hab dann hier nach Benutzer Administrator gefiltert und da auch die Anmeldung und sonstige Ereignisse angezeigt bekommen. -Das Problem ist nur, dass das letzte Datum da 15.12.09 ist und sich das net aktualiesiert. -Ebenso kann ich die Daten nur als .evt datei abspeichern? Und wenn ich sie da öffne, werden die dann Aktuallisiert oder bleiben die gleich? (Muss die Daten 6Monate gespeichert haben, und muss die halt auch auf einen externen Speicher anlegen, nur wenn die dann sowieso aktuallisiert werden...) -Wenn ich einen neuen Reiter erstelle wo ich den Filter auf Admin lasse, wird der beim schließen wieder gelöscht.. kann man das net so abspeichern, dass es immer bleibt, auch bei neustart.. mfg BlackDragon Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 Moin, die juristische Frage können und dürfen wir hier nicht diskutieren. Technisch ist das Protokollieren aussichtslos, wenn es sich um Administratoren handeln soll, denn per definitionem können Administratoren dies leicht umgehen. Was deine konkreten Eventlog-Probleme angeht: Ist das Log so konfiguriert, dass es Einträge bei Bedarf überschreibt? Dem Problembild nach scheint das nicht so zu sein. Einen regelmäßigen Export kannst du mit diversen Tools erreichen, z.B. per Log Parser, per WMI oder mit kommerziellen Programmen. Gruß, Nils Zitieren Link zu diesem Kommentar
BlackDragonE 10 Geschrieben 17. Dezember 2009 Autor Melden Teilen Geschrieben 17. Dezember 2009 (bearbeitet) Moin, 1. Technisch ist das Protokollieren aussichtslos, wenn es sich um Administratoren handeln soll, denn per definitionem können Administratoren dies leicht umgehen. 2. Was deine konkreten Eventlog-Probleme angeht: Ist das Log so konfiguriert, dass es Einträge bei Bedarf überschreibt? Dem Problembild nach scheint das nicht so zu sein. Einen regelmäßigen Export kannst du mit diversen Tools erreichen, z.B. per Log Parser, per WMI oder mit kommerziellen Programmen. Gruß, Nils Zu1. Naja wäre immer was ^^ Laut Unternehmensverband reicht das aus, wenn mans alle paar mal auf Dvd Brennt und somit nicht verändert werden kann (naja das könnte man auch umgehen aber lassen wirs mal ;) ) zu2. Mhm hab nun die Dateigröße geändert und siehe da, auch der 17.12 steht nun da.. (was wäre aber eine angebrachte Ordnergröße, wenn ich se alle woche mal abspeichere) Wie kann ich aber einstellen, dass nur der Admin da angezeigt wird, allso nicht im Tab Sicherheit sondern in einem neuen, da ich atm 100Mb angebeben habe und der grad mal 3 Tage da platz hat wenn ich alle drinnen habe oO bzw das mit den abspeichern muss ich mir nun demnächst angucken. Danke schon mal bearbeitet 17. Dezember 2009 von BlackDragonE Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 Moin, ich kann nur sagen: Verlass dich bei juristischen Fragen nicht auf Hörensagen. Ein Protokoll auf DVD zu brennen, ändert überhaupt nichts an der Tatsache, dass ein Administrator, wenn er will, sich an jedem Logging vorbeimogeln könnte. Dann brennst du halt ein Protokoll, das die gewünschten Informationen nicht enthält. Wenn dein Eventlog zu schnell vollläuft, dann musst du es häufiger sichern. Eine Auswertung ist mit diversen Tools möglich, worauf ich schon hingewiesen habe. Gruß, Nils Zitieren Link zu diesem Kommentar
BlackDragonE 10 Geschrieben 4. Januar 2010 Autor Melden Teilen Geschrieben 4. Januar 2010 Moin, schönes neues Jahr. So nach Urlaub und anderen Arbeiten wieder zurück zu diesen Thema ;) Hab nun versucht mit LogParser2.2 und EventQuery.vbs die Dateien auszulesen (allso nur die Events vom Benutzer "Administrator"). Nur leider mangels Kenntnisse ist es mir nicht gelungen so eine Abfrage zu erstellen. (Hab zwar Vorlagen gefunden, aber da steht nirgends wo ich die Abfrage reinschreiben muss. Bei Logparser sollt ich 2 Dateien erstellen, bei EventQuery ein cscript wobei aber nirgends genau stand wie/wo ich es machen musste.. Sprich bei mir bleibt es schon mal bei der Ausführung der Programme stecken -.-) Könntest du mir oder wer anders hierbei helfen, hab bei Google gesucht aber irg wie nix hilfreiches gefunden (ev weil ich flasch suche (logparser 2.2 eventlog auslesen usw..), krieg da zwar nützliche Seiten, aber wie schon gesagt, bei mir hängts da schon, weil ich net verstehe wie ich das Programm öffnen muss, LogParser zb nicht über die exe datei?...) Vielen Dank schon mal Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 4. Januar 2010 Melden Teilen Geschrieben 4. Januar 2010 Moin, Log Parser bringt eine umfangreiche Onlinehilfe mit. Zugegebenermaßen benötigt er etwas Einarbeitung. Wenn du ein paar Cent übrig hast, dürfte das hier was für dich sein: Microsofts Log Parser analysiert nicht nur Logdateien. heise online-Kiosk - c't-Archiv, 4/2008, Seite 198 Gruß, Nils Zitieren Link zu diesem Kommentar
BlackDragonE 10 Geschrieben 8. Januar 2010 Autor Melden Teilen Geschrieben 8. Januar 2010 Hab nun bei Logparser eine Abfrage geschrieben, nur leider find ich nirgends den Username abzufragen, sprich ich kann Fehlerauslese usw machen... (select * from System where EventType=1) Aber ich brauche den Username und find hierzu keinen Abfragename... Allso statt where EventType=1 müsste hier where Username=Administrator stehen.. nur das Username nicht erkannt wird... Kann mir da ev wer helfen? mfg Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 8. Januar 2010 Melden Teilen Geschrieben 8. Januar 2010 Moin, kannst du deine Frage bitte noch mal so stellen, dass man sie versteht? Was genau willst du erreichen? Gruß, Nils Zitieren Link zu diesem Kommentar
BlackDragonE 10 Geschrieben 11. Januar 2010 Autor Melden Teilen Geschrieben 11. Januar 2010 Ich hab nun die Abfrage: select * from System where EventType=1 bräuchte aber net die EventType sondern den Username "Administrator" herauszulesen. Sprich am Ende sollten alle Events welche Administrator begangen hat ausgelesen werden. Hoffe diesmal wars verständlich, sry. mfg Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 11. Januar 2010 Melden Teilen Geschrieben 11. Januar 2010 Moin, das geht so nicht, weil der Username nicht als Spalte auftaucht. Du könntest höchstens einen Filter mit WHERE Message LIKE '%Administrator%' Das sollte dir nur die Events anzeigen, wo im Text "Administrator" auftaucht. Gruß, Nils Zitieren Link zu diesem Kommentar
BlackDragonE 10 Geschrieben 11. Januar 2010 Autor Melden Teilen Geschrieben 11. Januar 2010 (bearbeitet) Habs nun: SELECT *, Timegenerated, EXTRACT_TOKEN(Strings,0,'|') AS User, EXTRACT_TOKEN(Strings,5,'|') AS ClientAddress FROM Security WHERE UserLIKE '%Administrator%' so gehts, hab nun aber irg wie 100 Logs mehr als bei Eventlog... mal alle durchgucken oO Danke für die hilfe ;) bearbeitet 11. Januar 2010 von BlackDragonE Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 11. Januar 2010 Melden Teilen Geschrieben 11. Januar 2010 Moin, wie lange sollen wir denn hier noch stochern? Gib bitte genau an, was du willst, dann können wir helfen. Das EVT-Format von Log Parser kennt keine Spalte "Username", sondern nur die Spalte SID. Die GUI-Ansicht des Eventviewers löst den SID auf, der in den Logs erscheint. Du musst dir also den SID des Administrators heraussuchen und kannst dann auf diesen filtern. SELECT * FROM Application WHERE SID='S-1-0815' Wahrscheinlich kannst du dir auch mit der Funktion "RESOLVE_SID" was bauen. Guck halt in die Onlinehilfe des Log Parser, die ist sehr umfangreich. Gruß, Nils Zitieren Link zu diesem Kommentar
BlackDragonE 10 Geschrieben 12. Januar 2010 Autor Melden Teilen Geschrieben 12. Januar 2010 Moin, wie lange sollen wir denn hier noch stochern? Gib bitte genau an, was du willst, dann können wir helfen. Wie gesagt, habs nun (sieh oben) Brauchte alle Daten von EventLog wo der Username Administrator war/ist. mit der oberen Abfrage gehts nun auch soweit ;) Danke Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 12. Januar 2010 Melden Teilen Geschrieben 12. Januar 2010 OK, danke für die Rückmeldung. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.