4
Logfiles auswerten
Wie kann ich aus den Logfiles herauslesen wann und von welcher Station zugriff auf eine geschützte Partition mit dem AdminPW zugriff genommen wurde?
Guten Abend
Ich bin Rektor an einem Gymnasium in der Schweiz und hätte folgende Frage: Wie kann ich anhand der Logiles feststellen, ob und wann mit dem Sysadmin PW auf meine persönliche, nur mir und dem Sysadmin zugängliche Partition zugegriffen wurde? Wir haben den Verdacht dass jemand, der das Passwort des Administrators kennt, sich unbefugt Zugriff zu vertraulichen Daten verschafft hat. Können wir anhand der Logfiles auch feststellen, von welchem Terminal der Zugriff erfolgte? Die einzelnen Stationen haben feste IP's. Das System ist Windows NT mit sämtlichen Service Packs.
Besten Dank im voraus für Ihre Hilfe
B.Räber
hier ein Lösungsvorschlag:
Gruß
FS
Guten Abend
Ich bin Rektor an einem Gymnasium in der Schweiz und hätte folgende Frage: Wie kann ich anhand der Logiles feststellen, ob und wann mit dem Sysadmin PW auf meine persönliche, nur mir und dem Sysadmin zugängliche Partition zugegriffen wurde? Wir haben den Verdacht dass jemand, der das Passwort des Administrators kennt, sich unbefugt Zugriff zu vertraulichen Daten verschafft hat. Können wir anhand der Logfiles auch feststellen, von welchem Terminal der Zugriff erfolgte? Die einzelnen Stationen haben feste IP's. Das System ist Windows NT mit sämtlichen Service Packs.
Besten Dank im voraus für Ihre Hilfe
B.Räber
hier ein Lösungsvorschlag:
Gruß
FS
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 873
Url: https://administrator.de/forum/logfiles-auswerten-873.html
Ausgedruckt am: 09.04.2025 um 08:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo Herr Räber,
normalerweise werden die Anmeldeergebnisse und Versuche nicht mitprotokoliert. Mann kann sie aber z.B. bei Windows 2000 über die Lokalen Sicherheitseinstellungen aktivieren. Danach sollte diese Informationen in der Ergebnisanzeige bzw. in den Logfiles sichtbar sein.
Ich habe mir mal erlaubt in Ihren Beitrag (in den Kommentaren geht das leider noch nicht, Asche auf mein Haupt
) ein Screenshot beizufügen
Mit freundlichen Grüßen
Frank Scholl
normalerweise werden die Anmeldeergebnisse und Versuche nicht mitprotokoliert. Mann kann sie aber z.B. bei Windows 2000 über die Lokalen Sicherheitseinstellungen aktivieren. Danach sollte diese Informationen in der Ergebnisanzeige bzw. in den Logfiles sichtbar sein.
Ich habe mir mal erlaubt in Ihren Beitrag (in den Kommentaren geht das leider noch nicht, Asche auf mein Haupt
) ein Screenshot beizufügenMit freundlichen Grüßen
Frank Scholl
Danke vielmals für Ihre Antwort Herr Scholl!
Gibt es denn keine Möglichkeit das im Nachhinein zu überprüfen? Es wäre eben relativ wichtig unseren Verdacht bestätigen/widerlegen zu kennen.
Besten Dank und schönen Abend
BR
Gibt es denn keine Möglichkeit das im Nachhinein zu überprüfen? Es wäre eben relativ wichtig unseren Verdacht bestätigen/widerlegen zu kennen.
Besten Dank und schönen Abend
BR
Sorry für die Rechtschreibefehler, bin etwas übermüdet..
Neuer Versuch:
Danke vielmals für Ihre Antwort Herr Scholl!
Gibt es denn keine Möglichkeit, das im Nachhinein zu überprüfen? Es wäre eben relativ wichtig, unseren Verdacht bestätigen/widerlegen zu können.
Besten Dank und schönen Abend
BR
Neuer Versuch:
Danke vielmals für Ihre Antwort Herr Scholl!
Gibt es denn keine Möglichkeit, das im Nachhinein zu überprüfen? Es wäre eben relativ wichtig, unseren Verdacht bestätigen/widerlegen zu können.
Besten Dank und schönen Abend
BR
hmmm, nachträglich? Nicht das ich wüsste, da die fehlenden Informationen ja nicht in das alten Logfile geschrieben wurden.
Vielleicht sollten Sie einen anderen Weg finden.
Wie sieht es z.B. mit einem Netzwerk-Router, einem Proxy-Server oder etwas ähnliches aus. Diese Hard- oder Software protokolliert eigentlich alles mit, was so im Netz passiert. Vielleicht auch mal das Ergebnisprotokoll nach ungewöhnlichen Zeiten durchsuchen. Zwar sind nicht die An- und Abmeldungen protokoliert, aber meißt meldet irgendein Device (Geräte) oder eine Software einen Fehler oder eine Informationen.
Wenn solche Einträge mit falschen oder ungewöhnlichen Zeitstempeln in der Ereignisanzeige stehen, haben sie vieleicht schon einen kleinen Hinweis.
Gruß
FS
Vielleicht sollten Sie einen anderen Weg finden.
Wie sieht es z.B. mit einem Netzwerk-Router, einem Proxy-Server oder etwas ähnliches aus. Diese Hard- oder Software protokolliert eigentlich alles mit, was so im Netz passiert. Vielleicht auch mal das Ergebnisprotokoll nach ungewöhnlichen Zeiten durchsuchen. Zwar sind nicht die An- und Abmeldungen protokoliert, aber meißt meldet irgendein Device (Geräte) oder eine Software einen Fehler oder eine Informationen.
Wenn solche Einträge mit falschen oder ungewöhnlichen Zeitstempeln in der Ereignisanzeige stehen, haben sie vieleicht schon einen kleinen Hinweis.
Gruß
FS
