fontemagno
Goto Top

Datenflut bei aktivierter Objektzugriffüberwachung (W2K3)

Hallo,

bei einem Kunden sollen einige Verzeichnisse bzgl. der Zugriffe überwacht werden. Die rechtlichen Belange dazu sind geklärt. Nun habe ich das Problem, dass nach aktivierter Objektzugriffüberwachung auf einem W2K3 Server neben den gewünschten Informationen über Dateizugriffe auch massig Einträge von z.B. Exchange (store.exe), mmc.exe oder auch explorer.exe erscheinen. Und das ganze nahezu im Sekundentakt. Gibt es eine Möglichkeit, diese Einträge auszuklammern, und zwar nicht erst durch einen Filter bei der Logansicht, sondern so, dass diese erst gar nicht im Log erscheinen. Hab' gegoogelt und bislang keine brauchbaren Ideen gefunden.

Über Tips wäre ich sehr dankbar.

Content-ID: 138899

Url: https://administrator.de/forum/datenflut-bei-aktivierter-objektzugriffueberwachung-w2k3-138899.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

DerWoWusste
DerWoWusste 23.03.2010 um 10:22:47 Uhr
Goto Top
Moin.
Wie die Objektzugriffsüberwachung eingestellt ist, verschweigst Du. Wo also sollen Helfer ansetzen?
fontemagno
fontemagno 23.03.2010 um 13:02:13 Uhr
Goto Top
Hallo,
ich habe die Objektzgriffsüberwachung per Richtlinie aktiviert und für einen Ordner Aktion "löschen" zur Überwachung ausgewählt. Mehr habe ich nicht gemacht. Ich leite aus Deiner Antwort aber ab, dass es weitere Einstellungsmöglichkeiten gibt, die ich offenbar nicht kenne.
DerWoWusste
DerWoWusste 23.03.2010 um 13:18:53 Uhr
Goto Top
Du kannst doch den Personenkreis einschränken - zur Zeit ist eventuell die Aktion löschen für "jeder" überwacht. Ändere auf die Benutzer/Gruppen, die in Frage kommen oder auf die Gruppe Domänenbenutzer.
fontemagno
fontemagno 23.03.2010 um 13:52:09 Uhr
Goto Top
Hallo,

danke für Deine Antwort. Aktuell habe ich das aber auch nur für einen Benutzer gemacht, um ein Feeling für die Datenmenge zu bekommen. Die Einträge zu der eigentlichen Fileüberwachung sind auch überschaubar; geflutet wird das Log überwiegend von store.exe einträgen.
DerWoWusste
DerWoWusste 23.03.2010 um 14:01:14 Uhr
Goto Top
Gut, dann gib an, ob die store.exe-Einträge auch Überwachungseinträge sind und wenn ja, was dabei überwacht wird.
fontemagno
fontemagno 07.04.2010 um 09:42:07 Uhr
Goto Top
Hallo,

ich habe mal exemplarisch zwei Eintrage gepostet. Diese werden - neben den eigentlichen Dateizugriffen - ebenfalls geloggt. Es wäre natürlich schön, wenn das loggen dieser Einträge abschaltbar wäre.

Objektzugriffsversuch:
Objektserver: Security
Handlekennung: 2572
Objekttyp: File
Prozesskennung: 2852
Abbilddateiname: …\explorer.exe
Zugriffe: Attribute lesen
Zugriffsmaske: 0x80

Geschlossenes Handle:
Objektserver: Microsoft Exchange
Handlekennung: 201108328
Prozesskennung: 4736
Abbilddateiname: …\Exchsrvr\bin\store.exe
Nachtexpress-
Nachtexpress- 12.10.2011 um 17:38:14 Uhr
Goto Top
Hallo!

Wir haben das gleiche Problem.
Ich habe http://support.microsoft.com/kb/841001/en-us gefunden, und die Lösung 1 sieht vielversprechend aus.
Die Einstellung heißt auf Deutsch: Überwachung: Zugriff auf globale Systemobjekte prüfen

Mal sehen was nach dem Serverneustart passiert.