NTFS Volumeüberwachung

[Zed 10]

Morgen,

 

ist jemand ein Programm bekannt, mit dem ich ein NTFS volume überwachen kann und dass über die Ergebnisse Logfiles erstellt? Also alle Fileaktivitäten von Usern z.B.

 

- Welche Files wurden von einem User in einem bestimmten Zeitraum erstellt?

- Wie groß sind diese Files?

 

usw...

 

wäre für jeden Tipp dankbar!

 

lg,

zed

[Operator 10]

Hi,

 

vielleicht schon zu viel des Guten, weil das Programm keine Langzeit-Protokolle erlaubt (zumindest keine übersichtlichen).

 

Aber immer gut zur Fehlersuche: FileMon

Kostenlos auf http://www.sysinternals.com, irgendwo unter den Freeware Sachen.

 

Gruß

Andre

[Zed 10]

Hi,

 

danke für den tipp, aber filmon wurde von mir schon ausprobiert, leider kann ich nicht nach usern filtern.

 

mir gehts darum, ich möchte so leicht als möglich rausfinden können, welcher user der schuldige ist, wenn auf einmal 2 GB mehr an daten auf dem datenträger sind.

 

lg,

[darthflo 10]

Wenn du den Leuten die 2 GiB net gönnst, wieso machste dann net einfach vol fies Kontingente mit 100 MiB-Limite? ;)

[Zed 10]

Original geschrieben von darthflo

Wenn du den Leuten die 2 GiB net gönnst, wieso machste dann net einfach vol fies Kontingente mit 100 MiB-Limite? ;)

 

wer sagt denn das ich es ihnen nicht gönne? es geht darum, das ich es überwachen kann wenn jetzt auf einmal innerhalb eines tages 2 gb dazu kommen. ich möchte nur wissen welcher user mit welchen files das war...

 

lg,

[Thanquol 10]

Dann empfehle ich mal das Tool TREESIZE

damit kannst du die Ordner der Größe nach anzeigen lassen!

 

Mach das einfach mal jeden Tag abends und schau nach wie sich die Größen verändern?

[Operator 10]

Hi,

 

das wären jetzt auch meine Tipps:

- TreeSize

- Quotas (Größenbegrenzung, kann ja ruhig großzügig ausfallen, z.B. 4GB oder so)

 

Ansonsten gibts noch Zugriffsüberwachung von Objekten (Dateien). Wie man die konfiguriert findest Du auf den MS Seiten. Wenn nicht, such ich Dir den Link raus.

Im Prinzip aktivierst Du für den Server die Objektüberwachung und per Explorer bestimmst Du welche Pfade überwacht werden sollen.

Damit findest Du jeden überwachten Eintrag im Ereignisprotokoll / Sicherheit.

 

Gruß

Andre

[airtime 10]

Hi, vielleicht einfach Filesystem-Auditing anschalten...aus der W2K3 - Hilfe rauskopiert.

 

Airtime

 

Aus Hilfe...

 

Übersicht über das ÜberwachenDas Festlegen von Überwachungsrichtlinien stellt einen wichtigen Aspekt der Sicherheit dar. Durch das Überwachen der Erstellung oder Bearbeitung von Objekten können Sie mögliche Sicherheitsprobleme nachverfolgen, den Zugriff der Benutzer kontrollieren und einen Nachweis im Fall einer Sicherheitsverletzung erbringen.

 

Folgende sind häufig auftretende zu überwachende Ereignisse:

 

Zugriffe auf Objekte, wie Dateien und Ordner.

Verwaltung von Benutzer- und Gruppenkonten.

An- und Abmeldungen von Benutzern am System.

 

Führen Sie beim Implementieren von Überwachungsrichtlinien die folgenden Aktionen aus:

 

Geben Sie die Kategorien der zu überwachenden Ereignisse an. Beispiele für Ereigniskategorien sind die Benutzeranmeldung und -abmeldung sowie die Kontenverwaltung. Die von Ihnen ausgewählten Ereigniskategorien bilden die entsprechende Überwachungsrichtlinie. Weitere Informationen zu den einzelnen Ereigniskategorien finden Sie unter Überwachungsrichtlinien.

Legen Sie die Größe und das Verhalten des Sicherheitsprotokolls fest. Sie können das Sicherheitsprotokoll mithilfe der Ereignisanzeige anzeigen. Weitere Informationen zum Sicherheitsprotokoll finden Sie unter Anzeigen von Sicherheitsprotokollen.

Wenn Sie den Verzeichnisdienstzugriff oder den Objektzugriff überwachen möchten, bestimmen Sie, für welche Objekte und welche Zugriffstypen die Überwachung erfolgen soll. Wenn Sie beispielsweise alle Versuche von Benutzern zum Öffnen einer bestimmten Datei überwachen möchten, können Sie die Überwachungsrichtlinieneinstellungen in der Objektzugriff-Ereigniskategorie so konfigurieren, dass sowohl erfolgreiche als auch fehlgeschlagene Versuche zum Lesen der Datei aufgezeichnet werden.

Weitere Informationen zum Einrichten der Objektzugriffsüberwachung finden Sie unter:

 

So übernehmen oder ändern Sie Überwachungsrichtlinieneinstellungen für eine lokale Datei oder einen lokalen Ordner

So übernehmen oder ändern Sie Überwachungsrichtlinieneinstellungen für ein Objekt mithilfe von Gruppenrichtlinien

 

Weitere Informationen zur Überwachung finden Sie unter Überwachen von Sicherheitsereignissen.

[Operator 10]

@airtime...

 

1. Hinweise doppelt posten macht überhaupt keinen Sinn :)

Auch nicht vor/an Weihnachten ;)

 

2. Der Hinweis auf die Stelle in der Hilfe hätte gereicht.

 

3. Frohe Weihnachten ;)

 

Andre

[Velius 10]

Vielleicht ist ja das was.....

 

http://www.veritas.com/Products/www?c=product&refId=48

 

Grüsse

Velius

[airtime 10]

Hallo Operator,

hat ne weile gedauert bis ich den "Doppelpost" erkannt habe, Du hast recht - sorry.

 

!Hinweis auf Stellen! in der Hilfe setzt vorraus, daß Zed im Besitz von W2K3 ist, hat jedoch keine Angabe dazu gemacht. Ich glauch ich frage das nächste mal welches OS er für NTFS benutzt.

 

Wünsche auch frohe Weihnachten

 

airtime