tutter
Goto Top

Proc Mon herausfinden wer über Hyperlink auf Datei zugreift

Hallo,

ich muss rausfinden wer über einen Hyperlink auf eine Datei auf dem File-Server zugreift. Dazu würde sich ja Proc Mon anbieten aber was stelle ich im Filter ein?

Mit "Operation -> is -> ReadFile"- Filter bekomme ich raus wer auf die Datei zugreift. Geschieht das jedoch über einen Hyperlink reagiert Proc Mon nicht.

Was muss ich einstellen?

Content-ID: 441379

Url: https://administrator.de/forum/proc-mon-herausfinden-wer-ueber-hyperlink-auf-datei-zugreift-441379.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

139374
Lösung 139374 18.04.2019 aktualisiert um 13:29:10 Uhr
Goto Top
Warum fackelst du das nicht direkt über das NTFS Auditing auf dem Fileserver ab?
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...

Naja back to Topic...

Da der Explorer für Netzwerklinks zuständig ist und diese im Exlorer geöffnet werden filterst du natürlich erst mal auf die Explorer.exe und zusätzlich noch auf die Operation QueryNetworkPhysicalNameInformationFile

screenshot

Wäre es stattdessen ein Link im Web mit http(s) wäre natürlich auf den entsprechenden Browser-Prozess zu filtern und dort dann auf die Kommandozeile zusätzlich einen Filter zu legen die den -url Parameter als String enthält.
Tutter
Tutter 18.04.2019 um 14:49:35 Uhr
Goto Top
hallo und danke timeout für deinen Ansatz.

Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife? Proc Mon läuft auf den Datenserver.
139374
139374 18.04.2019 aktualisiert um 15:45:57 Uhr
Goto Top
Zitat von @Tutter:

hallo und danke timeout für deinen Ansatz.

Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife?
Du nutzt Procmon am Server das muss dafür am Client laufen.
Proc Mon läuft auf den Datenserver.
Falsch muss in obiger Config auf den Client.

Wenn du das am Server machen willst, mach es am besten gleich übers NTFS Auditing und das Eventlog, und bei Bedarf lässt du dich via Eventlog Trigger benachrichtigen.
Beispiele gibt's hier zum Thema einige
Protokollierung gelöschter Dateien auf einem Fileserver
Tutter
Tutter 18.04.2019 um 15:52:42 Uhr
Goto Top
Schade dann wird der Ansatz von mir natürlich nicht klappen! Danke dir für deine Mühen!