17566
Sep 19, 2005, updated at Sep 21, 2005 (UTC)
14494
15
0
Windows 2003 (Fileserver) - Logfiles zum Erkennen wer was gelöscht hat?!
Hallo Leute,
wir haben hier bei uns in der Firma einen W2k3-Server als Fileserver im Einsatz.
Es kommt in letzter Zeit vermehrt vor, dass auf einmal Daten weg sind, ich diese zurücksichern
muss und keiner wills gewesen sein!
Kennt ihr ja bestimmt...
Gibts Tools oder Programme die jede Bewegung in der "File-Umgebung" loggen können?
D. h. ich will sehen: Wer hat die Datei geöffnet? Wer hat sie verändert? Wer hat sie gelöscht?
Sowas gibts doch mit Sicherheit.
Eine einfache TXT-Datei in der die Logs enthalten sind wäre schon traumhaft. Mehr will ich gar nicht.
Vor allem will ich nicht den Server mit unötig, großen Programmen belasten...
Noch kurze Info: Die Clients (alle Win2k) melden sich an einem DC (Win2k3) an.
Vielen Dank schonmal.
mfg
Steffen_1985
wir haben hier bei uns in der Firma einen W2k3-Server als Fileserver im Einsatz.
Es kommt in letzter Zeit vermehrt vor, dass auf einmal Daten weg sind, ich diese zurücksichern
muss und keiner wills gewesen sein!
Kennt ihr ja bestimmt...
Gibts Tools oder Programme die jede Bewegung in der "File-Umgebung" loggen können?
D. h. ich will sehen: Wer hat die Datei geöffnet? Wer hat sie verändert? Wer hat sie gelöscht?
Sowas gibts doch mit Sicherheit.
Eine einfache TXT-Datei in der die Logs enthalten sind wäre schon traumhaft. Mehr will ich gar nicht.
Vor allem will ich nicht den Server mit unötig, großen Programmen belasten...
Noch kurze Info: Die Clients (alle Win2k) melden sich an einem DC (Win2k3) an.
Vielen Dank schonmal.
mfg
Steffen_1985
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 16308
Url: https://administrator.de/contentid/16308
Printed on: April 23, 2024 at 06:04 o'clock
15 Comments
Latest comment
Du kannst in den NTFS Sicherheitseinstellungen User / Gruppen und so überwachen lassen. Das ist in Windows schon drin und braucht nicht viel Ressorcen, und wird auch noch "Praktischer Weise" im Ereignisprotokoll hinterlegt. Du solltest aber die Logs dann aber ein bissel aufschrauben, so auf 1-2 MB je nach Zugriffen und so ...
Mfg Metzger
Mfg Metzger
Hallo Steffen,
das kannste mit Bordmitteln machen.
Computerrichtlinie (lokale oder wenn Du AD hast eine neue Policy) - Überwachung aktivieren.
Danach das Verzeichnis auf dem Server - Eigenschaften - Überwachung - für jeden die Überwachung der Zugriffe einstellen so wie du es willst - ob nur Ändern oder auch lesen oder löschen überwacht wird - Ergebnisse findest Du dann in der Ereignisanzeige des Servers, wer wo wan wie zugegriffen hat.
Tip: Überwach nicht zu viel und überwach nur Erfolgreiches - sonst wirste nicht wieder froh beim Lesen.
Gruß Leo
das kannste mit Bordmitteln machen.
Computerrichtlinie (lokale oder wenn Du AD hast eine neue Policy) - Überwachung aktivieren.
Danach das Verzeichnis auf dem Server - Eigenschaften - Überwachung - für jeden die Überwachung der Zugriffe einstellen so wie du es willst - ob nur Ändern oder auch lesen oder löschen überwacht wird - Ergebnisse findest Du dann in der Ereignisanzeige des Servers, wer wo wan wie zugegriffen hat.
Tip: Überwach nicht zu viel und überwach nur Erfolgreiches - sonst wirste nicht wieder froh beim Lesen.
Gruß Leo
Sorry,
aber kannste du mir den Weg wie ich zu diesen Einstellungen komme
vielleicht genauer beschreiben?
aber kannste du mir den Weg wie ich zu diesen Einstellungen komme
vielleicht genauer beschreiben?
Hey Steffen - bin mir jetzt nicht sicher, ob Du mich nochmal meinst - dein letzter Beitrag kam zwar nach meinem - steht aber in meiner Ansicht drüber.
Wenn ja - dann bitte nochmal melden - wird aber eventuell bis morgen dauern, bis nochmal Antwort kommt. Weiß nicht, ob ich heute noch dazu komme, nochmal rein zu schauen - sonst spätestens morgen mehr.
So long - Leo
Wenn ja - dann bitte nochmal melden - wird aber eventuell bis morgen dauern, bis nochmal Antwort kommt. Weiß nicht, ob ich heute noch dazu komme, nochmal rein zu schauen - sonst spätestens morgen mehr.
So long - Leo
Ich habe AD, aber wie erstelle ich eine Policy?
Tip: Überwach nicht zu viel und
überwach nur Erfolgreiches - sonst
wirste nicht wieder froh beim Lesen.
Gruß Leo
überwach nur Erfolgreiches - sonst
wirste nicht wieder froh beim Lesen.
Gruß Leo
Dem kann ich nur zustimmen!
Ich hatte das früher auch drin.
Aber 1. frist das Performance ohne Ende
und 2. wie LEO schon sagt: das Auswerten kannst du einfach vergessen!
Wenn Du keine richtige Dokumentenmanagementsoftware einsetzt, wirst du das vermutlich nicht so hinbekommen wie du dir das vielleicht vorstellst.
Grüße Michael
Ihr versteht mich vielleicht falsch.
Ich will diese erzeugten Logs nicht permanent überwachen, sondern
nur wenn mal wieder ein Kollege anruft und sagt:
"Hier Steffen mir fehlen einige Dateien."
Dann schau ich mir das in den Logs an wann diese gelöscht wurden und
auch nur dann, im Fall der Fälle.
Deswegen wäre ich dankbar wenn mir das einer von euch näher bringen
könnte wie ich dies einstellen kann. Oder hat jemand einen hilfreichen Link parat?
Ich will diese erzeugten Logs nicht permanent überwachen, sondern
nur wenn mal wieder ein Kollege anruft und sagt:
"Hier Steffen mir fehlen einige Dateien."
Dann schau ich mir das in den Logs an wann diese gelöscht wurden und
auch nur dann, im Fall der Fälle.
Deswegen wäre ich dankbar wenn mir das einer von euch näher bringen
könnte wie ich dies einstellen kann. Oder hat jemand einen hilfreichen Link parat?
Hi Steffen,
ich glaube ich hab dich schon verstanden: Ich hatte den gleichen Anreiz:
http://www.mcseboard.de/showthread.php?s=&threadid=24407
Das Problem besteht nach wie vor: Du brauchst zu lange um daraus etwas abzulesen.
Ich habe eine andere Methode gewählt um die "LÖSCHER" zu bekämpfen.
Auf dem 2k3 Server kannst du mit Volumenschattenkopien ja superschnelle restores fahren.
Ich komm damit momentan ganz gut zurecht.
Grüße Michael
ich glaube ich hab dich schon verstanden: Ich hatte den gleichen Anreiz:
http://www.mcseboard.de/showthread.php?s=&threadid=24407
Das Problem besteht nach wie vor: Du brauchst zu lange um daraus etwas abzulesen.
Ich habe eine andere Methode gewählt um die "LÖSCHER" zu bekämpfen.
Auf dem 2k3 Server kannst du mit Volumenschattenkopien ja superschnelle restores fahren.
Ich komm damit momentan ganz gut zurecht.
Grüße Michael
Hallo Steffen,
die Logs brauchst Du ja auch nicht ständig überwachen - die werden ja nur ständig mitgeschrieben.
Möglicherweise solltest Du die Protokollgröße in den Eigenschaften der Ereignisanzeige (Sicherheitsprotokoll) erhöhen und die Einstellung wählen - bei Bedarf überschreiben. Dann mußt Du mal beobachten, wieviele Tage rückwirkend dann weiterhin Einträge angezeigt werden.
Dann solltest Du eventuell die Logfiles regelmäßig exportieren, damit Du auch später noch auf Ereignisse zugreifen kannst. Das geht alles in der Computerverwaltung - Ereignisprotokoll.
Dann mußt Du wie gesagt eine Richtlinie erstellen - entweder eine lokale Richtlinie über Verwaltung - Lokale Sicherheitsrichtlinie - und zwar auf der Maschine, auf der die Daten liegen - hier mußt Du die Überwachung für erfolgreiche Zugriffsversuche auf Ressorcen aktivieren.
Man kann das auch über`s AD machen, wenn es mehrere Fileserver betrifft. Aber da solltest Du Dir wirklich erst die Mühe machen und dich mit der Thematik auseinandersetzen.
Dann gehst Du in die Eigenschaften der Freigaben ( bzw. Ordner), die Du überwachen willst und gibst hier ein, wessen Zugriff überwacht werden soll (entweder eine Gruppe oder einzelne Benutzer oder Jeder).
Aber wie gesagt - mach nicht zuviel, sonst wird dir jeder Mausklick protokolliert.
Wenn Du dich mit Gruppenrichtlinien auseinandersetzen willst, empfehle ich Dir erstmal folgende Links :
http://www.microsoft.com/germany/technet/datenbank/articles/600884.mspx
http://www.gruppenrichtlinien.de
Viel Erfolg - Gruß Leo
die Logs brauchst Du ja auch nicht ständig überwachen - die werden ja nur ständig mitgeschrieben.
Möglicherweise solltest Du die Protokollgröße in den Eigenschaften der Ereignisanzeige (Sicherheitsprotokoll) erhöhen und die Einstellung wählen - bei Bedarf überschreiben. Dann mußt Du mal beobachten, wieviele Tage rückwirkend dann weiterhin Einträge angezeigt werden.
Dann solltest Du eventuell die Logfiles regelmäßig exportieren, damit Du auch später noch auf Ereignisse zugreifen kannst. Das geht alles in der Computerverwaltung - Ereignisprotokoll.
Dann mußt Du wie gesagt eine Richtlinie erstellen - entweder eine lokale Richtlinie über Verwaltung - Lokale Sicherheitsrichtlinie - und zwar auf der Maschine, auf der die Daten liegen - hier mußt Du die Überwachung für erfolgreiche Zugriffsversuche auf Ressorcen aktivieren.
Man kann das auch über`s AD machen, wenn es mehrere Fileserver betrifft. Aber da solltest Du Dir wirklich erst die Mühe machen und dich mit der Thematik auseinandersetzen.
Dann gehst Du in die Eigenschaften der Freigaben ( bzw. Ordner), die Du überwachen willst und gibst hier ein, wessen Zugriff überwacht werden soll (entweder eine Gruppe oder einzelne Benutzer oder Jeder).
Aber wie gesagt - mach nicht zuviel, sonst wird dir jeder Mausklick protokolliert.
Wenn Du dich mit Gruppenrichtlinien auseinandersetzen willst, empfehle ich Dir erstmal folgende Links :
http://www.microsoft.com/germany/technet/datenbank/articles/600884.mspx
http://www.gruppenrichtlinien.de
Viel Erfolg - Gruß Leo
Erstmal Danke für eure Mühe.
Ich habe jetzt folgendes gemacht:
1. Systemsteuerung
2. Verwaltung
3. Sicherheitsrichtlinie für Domänen
4. Sicherheitseinstellungen
5. Logale Richtlinien
6. Objektzugriffsversuche überwachen auf Erfolgreich und Fehlgeschlagen gestellt.
7. Rechte Maustaste auf den zu überwachenden Ordner
8. Erweiterte Sicherheitseinstellungen für ***
9. Objektname: JEDER
10. Löschen - Häckchen gesetzt, Unterordner und Dateien - Häckchen gesetzt
Laut eurer Hilfe muss dies ja der richtige Weg sein.
Jetzt habe ich testweise ein paar Dateien auf dem Fileserver gelöscht. (Natürlich alte Dateien)
In den Event-Logs unter Sicherheit wird aber mein Löschverhalten nicht geloggt?
mfg
Steffen
Ich habe jetzt folgendes gemacht:
1. Systemsteuerung
2. Verwaltung
3. Sicherheitsrichtlinie für Domänen
4. Sicherheitseinstellungen
5. Logale Richtlinien
6. Objektzugriffsversuche überwachen auf Erfolgreich und Fehlgeschlagen gestellt.
7. Rechte Maustaste auf den zu überwachenden Ordner
8. Erweiterte Sicherheitseinstellungen für ***
9. Objektname: JEDER
10. Löschen - Häckchen gesetzt, Unterordner und Dateien - Häckchen gesetzt
Laut eurer Hilfe muss dies ja der richtige Weg sein.
Jetzt habe ich testweise ein paar Dateien auf dem Fileserver gelöscht. (Natürlich alte Dateien)
In den Event-Logs unter Sicherheit wird aber mein Löschverhalten nicht geloggt?
mfg
Steffen
Hallo Steffen,
wenn ich Dich richtig verstehe, ist Dein Fileserver auch Domänencontroller.
Auf Domänencontroller wirkt sich die Default Domaincontroller Policy aus und überschreibt die Einstellungen aus der Default Domain Policy.
Standardmäßig ist in Domaincontrollerpolicy die Überwachung deaktiviert - deshalb geht es auf DC`s nicht - mußt du dort auch aktivieren.
Gruß Leo
wenn ich Dich richtig verstehe, ist Dein Fileserver auch Domänencontroller.
Auf Domänencontroller wirkt sich die Default Domaincontroller Policy aus und überschreibt die Einstellungen aus der Default Domain Policy.
Standardmäßig ist in Domaincontrollerpolicy die Überwachung deaktiviert - deshalb geht es auf DC`s nicht - mußt du dort auch aktivieren.
Gruß Leo
Jetzt gehts.
Ich bin jetzt anstatt auf "Sicherheitsrichtlinien für Domänen" auf "Sicherheitsrichtlinie für Domänencontroller" gegangen .
Warscheinlich hast du das mit deinen Policys gemeint.
Was genau bedeutet jetzt Policy? Versteh ich immer noch nicht ganz.
Danke und Gruss
Steffen
Ich bin jetzt anstatt auf "Sicherheitsrichtlinien für Domänen" auf "Sicherheitsrichtlinie für Domänencontroller" gegangen .
Warscheinlich hast du das mit deinen Policys gemeint.
Was genau bedeutet jetzt Policy? Versteh ich immer noch nicht ganz.
Danke und Gruss
Steffen
Hery Steffen,
Policys sind Richtlinien (Gruppenrichtlinien), die auf alle oder ausgewählte Computer oder Benutzer angewendet werden können.
Ab W2000 gibt es lokale Richtlinien - die wirken dann nur auf die Maschine, an der sie konfiguriert werden. Wenn man ein AD hat, dann kann man Gruppenrichtlinien von zentraler Stelle aus konfigurieren.
Standardmäßig gibt es sofort nach der Installation des AD eine Richtlinie für Domänen und eine Richtlinie für Domänencontroller. Diese sollten eigentlich auch unverändert bleiben.
Über die Gruppenrichtlinienkonsole kann man dann weitere Richtlinien definieren und auf
bestimmte Strukturen im AD anwenden, wobei hier die Reihenfolge der Verarbeitung der Richtlinien und die Priorität, die diese haben wichtig ist, ob eine Einstellung greift oder nicht.
Das hast Du ja eben selbst gemerkt. Die Domänenpolicy wirkt zwar auf alle Computer der Domäne, aber DC verarbeiten anschließend noch die Domänencontrollerrichtlinie, und die setzt dann einige Einstellungen der ersten Policy wieder außer Kraft.
Vielleicht wirfst Du mal einen Blick auf "gruppenrichtlinien.de" oder bei Microsoft.
Man kann ne Menge mit Richtlinien machen - aber man kann sich auch das Leben schwer damit machen wenn man den Überblick nicht behält.
Gruß Leo
Policys sind Richtlinien (Gruppenrichtlinien), die auf alle oder ausgewählte Computer oder Benutzer angewendet werden können.
Ab W2000 gibt es lokale Richtlinien - die wirken dann nur auf die Maschine, an der sie konfiguriert werden. Wenn man ein AD hat, dann kann man Gruppenrichtlinien von zentraler Stelle aus konfigurieren.
Standardmäßig gibt es sofort nach der Installation des AD eine Richtlinie für Domänen und eine Richtlinie für Domänencontroller. Diese sollten eigentlich auch unverändert bleiben.
Über die Gruppenrichtlinienkonsole kann man dann weitere Richtlinien definieren und auf
bestimmte Strukturen im AD anwenden, wobei hier die Reihenfolge der Verarbeitung der Richtlinien und die Priorität, die diese haben wichtig ist, ob eine Einstellung greift oder nicht.
Das hast Du ja eben selbst gemerkt. Die Domänenpolicy wirkt zwar auf alle Computer der Domäne, aber DC verarbeiten anschließend noch die Domänencontrollerrichtlinie, und die setzt dann einige Einstellungen der ersten Policy wieder außer Kraft.
Vielleicht wirfst Du mal einen Blick auf "gruppenrichtlinien.de" oder bei Microsoft.
Man kann ne Menge mit Richtlinien machen - aber man kann sich auch das Leben schwer damit machen wenn man den Überblick nicht behält.
Gruß Leo
Werde mich auf jedenfall nochmal genauer mit Thema auseinandersetzen.
Danke nochmal für die Erläuterung.
mfg
Steffen
Danke nochmal für die Erläuterung.
mfg
Steffen
Na dann viel Erfolg !!
Gruß Leo
Gruß Leo
