Überwachung Sicherheitsrichtlinie eingeschaltet - Wie Ergebnis aus Eventlog filtern?

[b11ck 10]

Hallo,

 

ich habe vor längerem in einem bestimmten Bereich die Sicherheitsüberwachungen aktiviert, da immer mal wieder bestimmte User über verlorgegangene Dateien bzw. über mit alten Daten überschriebene Dateien geklagt.

 

Nun war es längere Zeit ruhig und ich bin wieder zum Tagesgeschäft übergegangen. Jetzt aktuell haben wir wieder so einen Fall, aber ich bekomme die Menge der gemeldeten Daten aus dem Ereignisprotokoll nicht vernünftig in Griff und bekomme auch Probleme mit der Interpretation. Gibt es hierfür Tools?

 

Konkret handelt es sich um eine Word-Datei.

 

Ich habe immer wieder

Zugriffe: READ_CONTROL

Daten lesen (oder Verzeichnis auflisten)

EA lesen

Attribute lesen

Attribute schreiben

und anschliessen

Zugriffe: DELETE

SYNCHRONIZE

 

Was sagt mir das? Ist das Normal? Word schreibt ja immer mal wieder die offene Datei zurück, aber trotzdem.

 

Sind die Einträge irgendwo aufgelistet, aufgeschlüsselt? Ich finde in meinen Büchern nichts vernünftiges.

 

Besten Dank im voraus.

[blub 115]

hi,

Securitylogs lassen sich mit dem freien MS-Tool Logparser von MS auslesen. http://www.microsoft.com/downoads Ich schieb mir eine im durch den Logparser schon vorgefilterte Auswahl der secevents gleich in eine Access-DB, da lässt sichs dann weiter bequem analysieren

 

cu

blub

[b11ck 10]

Merci,

 

werde mich damit beschäftigen

[traced82 10]

Kann man den Export in eine Access Datenbank automatisieren, bzw. das ganze gleich auf eine SQL Datenbank (ist auf dem entsprechendem Server vorhanden) schreiben lassen?

 

Was ich damit bezwecken möchte, ist dass alle Events, egal ob System, Dienste, Replizierung etc sofort in eine entsprechende Datenbank geschrieben werden, und ich dann ganz bequem per Access-Frontend damit arbeiten kann. Ist sowas möglich?

 

Schönes Wochenende,

Basti

[traced82 10]

Hat sich erledigt, wens interessiert: http://somarsoft.com/index.html

 

Danke &

vg Basti