Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Logfiles auswerten

Mitglied: Borisr

Wie kann ich aus den Logfiles herauslesen wann und von welcher Station zugriff auf eine geschützte Partition mit dem AdminPW zugriff genommen wurde?

Guten Abend

Ich bin Rektor an einem Gymnasium in der Schweiz und hätte folgende Frage: Wie kann ich anhand der Logiles feststellen, ob und wann mit dem Sysadmin PW auf meine persönliche, nur mir und dem Sysadmin zugängliche Partition zugegriffen wurde? Wir haben den Verdacht dass jemand, der das Passwort des Administrators kennt, sich unbefugt Zugriff zu vertraulichen Daten verschafft hat. Können wir anhand der Logfiles auch feststellen, von welchem Terminal der Zugriff erfolgte? Die einzelnen Stationen haben feste IP's. Das System ist Windows NT mit sämtlichen Service Packs.

Besten Dank im voraus für Ihre Hilfe

B.Räber

----- hier ein Lösungsvorschlag:
3418c1697b78a4cfd8a2da3850082e79-d6cc60217c2f9962e3654e4add471f65-richtlinien

Gruß
FS

Content-Key: 873

Url: https://administrator.de/contentid/873

Ausgedruckt am: 17.09.2021 um 19:09 Uhr

Mitglied: Frank
Frank 26.01.2004 um 16:57:11 Uhr
Goto Top
Hallo Herr Räber,

normalerweise werden die Anmeldeergebnisse und Versuche nicht mitprotokoliert. Mann kann sie aber z.B. bei Windows 2000 über die Lokalen Sicherheitseinstellungen aktivieren. Danach sollte diese Informationen in der Ergebnisanzeige bzw. in den Logfiles sichtbar sein.

Ich habe mir mal erlaubt in Ihren Beitrag (in den Kommentaren geht das leider noch nicht, Asche auf mein Haupt ;-) face-wink ) ein Screenshot beizufügen

Mit freundlichen Grüßen
Frank Scholl
Mitglied: Borisr
Borisr 26.01.2004 um 19:02:47 Uhr
Goto Top
Danke vielmals für Ihre Antwort Herr Scholl!
Gibt es denn keine Möglichkeit das im Nachhinein zu überprüfen? Es wäre eben relativ wichtig unseren Verdacht bestätigen/widerlegen zu kennen.
Besten Dank und schönen Abend
BR
Mitglied: Borisr
Borisr 26.01.2004 um 19:11:11 Uhr
Goto Top
Sorry für die Rechtschreibefehler, bin etwas übermüdet..
Neuer Versuch:
Danke vielmals für Ihre Antwort Herr Scholl!
Gibt es denn keine Möglichkeit, das im Nachhinein zu überprüfen? Es wäre eben relativ wichtig, unseren Verdacht bestätigen/widerlegen zu können.
Besten Dank und schönen Abend
BR
Mitglied: Frank
Frank 26.01.2004 um 21:08:22 Uhr
Goto Top
hmmm, nachträglich? Nicht das ich wüsste, da die fehlenden Informationen ja nicht in das alten Logfile geschrieben wurden.
Vielleicht sollten Sie einen anderen Weg finden.
Wie sieht es z.B. mit einem Netzwerk-Router, einem Proxy-Server oder etwas ähnliches aus. Diese Hard- oder Software protokolliert eigentlich alles mit, was so im Netz passiert. Vielleicht auch mal das Ergebnisprotokoll nach ungewöhnlichen Zeiten durchsuchen. Zwar sind nicht die An- und Abmeldungen protokoliert, aber meißt meldet irgendein Device (Geräte) oder eine Software einen Fehler oder eine Informationen.
Wenn solche Einträge mit falschen oder ungewöhnlichen Zeitstempeln in der Ereignisanzeige stehen, haben sie vieleicht schon einen kleinen Hinweis.

Gruß
FS
Heiß diskutierte Beiträge
question
Virtualisierungsprojekt für die FacharbeitVentimonusVor 1 TagFrageVirtualisierung16 Kommentare

Heyho, Ich habe mal ein paar fragen, bezüglich meines Abschlussprojektes, ob das alles überhaupt so Sinnig ist wie ich es mir denke. Kurz zur Erläuterung: ...

general
HomeServer noch mal anfassen?dertowaVor 1 TagAllgemeinServer-Hardware20 Kommentare

Hallo zusammen, erst im Juli dieses Jahres habe ich mein Homeserver-System angefasst und ein paar Upgrades vorgenommen. Der Threadripper 1920x wurde durch einen Ryzen 5 ...

question
Netzwerkperformance - Mikrotik - Wo ist mein Fehler?BirdyBVor 23 StundenFrageNetzwerke35 Kommentare

Moin zusammen, ich stehe gerade etwas auf dem Schlauch und weiß nicht so recht was mein Fehler ist. Gegeben ist mein heimisches Netzwerk: Also eigentlich ...

info
Hunderttausende MikroTik-Router sind seit 2018 angreifbarkilltecVor 1 TagInformationMikroTik RouterOS23 Kommentare

Mehrere MikroTik Router angreifbar. Hier der Link zu Heise: Hunderttausende MikroTik-Router sind seit 2018 angreifbar Gruß ...

question
Neue Firmennetzwerkstruktur und ein glühender KopfDerWachnerVor 1 TagFrageNetzwerke28 Kommentare

Moin zusammen, nun hab ich jahrelang hier nur mitgelesen, nun stehe ich allerdings selbst vor nem Problem was mir seit Tagen Kopfschmerzen bereitet. Also wir ...

general
Neue Herausforderungen auf unserer englischen SeiteFrankVor 23 StundenAllgemeinOff Topic14 Kommentare

Auf unserer englischen Seite gibt es neue Herausforderungen: Find who restarted DB server und Wanted: Network Node Manager 6.4 wer kann helfen? Generell findet ihr ...

question
Infos zu VOIP bzw. SIP gesucht gelöst lcer00Vor 1 TagFrageVoice over IP15 Kommentare

Hallo, kennt jemand vernünftige Einstiegslektüre (digital oder als Buch) zu VoIP, SIP & Co? Das Prinzip ist mir zwar eigentlich klar, aber gerade bei den ...

question
RDS CALs und normale CALs - Wie richtig lizensierentim.riepVor 1 TagFrageWindows Server18 Kommentare

Hallo liebe User, ich habe eine Frage zur richtigen Lizensierung: Wenn eine natürliche Person zum Beispiel drei Accounts auf einem Windows Server 2016 hat, braucht ...