peter9999
Goto Top

Ansicht des Protokolls der Dateisystemüberwachung einstellen oder Tool gesucht

Ich habe am Server die Dateisystemüberwachung für verschiedene Verzeichnisse aktiviert. Schreib- und Lesezugriffe werden jetzt in der Erignisanzeige im Windows-Protokoll "Sicherheit" angezeigt.

Ich kann aber keinen sinnvollen Filter erstellen, im Filter ist z.b. das Feld "Aufgabenkategorie" ausgegraut. Ich kann nur nach Event-ID 4656 filtern. Diese ID haben aber auch Events "Andere Objektzugriffsereignisse" - also z.b. irgendwelche Messages vom Plug and Play Manager.

Ich bräuchte bitte HIlfe ein Logfile zu erstellen, dass nur Lese-Schreibzugriffe auf die überwachten Ordner anzeigt.

Ziel ist eine Art Überwachung, ob jemand massenhaft Daten löscht oder kopiert, jetzt mach ichs mal händisch, vielleicht findet sich ein Skript oä, aber die Grundfilterung erscheint mir schon schwierig..
Danke

Content-ID: 264663

Url: https://administrator.de/forum/ansicht-des-protokolls-der-dateisystemueberwachung-einstellen-oder-tool-gesucht-264663.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

colinardo
colinardo 26.02.2015 aktualisiert um 19:51:58 Uhr
Goto Top
Hallo peter9999,
mit XPath lassen sich detailliertere Filter für das Eventlog erstellen und auch auf die Details des Events filtern, siehe dazu folgende Threads:

Hier gibts mehr Infos zu den XPath Filtern:
http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filter ...

Grüße Uwe
peter9999
peter9999 03.03.2015 um 18:16:48 Uhr
Goto Top
danke vielmals!