4
Proc Mon herausfinden wer über Hyperlink auf Datei zugreift
Hallo,
ich muss rausfinden wer über einen Hyperlink auf eine Datei auf dem File-Server zugreift. Dazu würde sich ja Proc Mon anbieten aber was stelle ich im Filter ein?
Mit "Operation -> is -> ReadFile"- Filter bekomme ich raus wer auf die Datei zugreift. Geschieht das jedoch über einen Hyperlink reagiert Proc Mon nicht.
Was muss ich einstellen?
ich muss rausfinden wer über einen Hyperlink auf eine Datei auf dem File-Server zugreift. Dazu würde sich ja Proc Mon anbieten aber was stelle ich im Filter ein?
Mit "Operation -> is -> ReadFile"- Filter bekomme ich raus wer auf die Datei zugreift. Geschieht das jedoch über einen Hyperlink reagiert Proc Mon nicht.
Was muss ich einstellen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 441379
Url: https://administrator.de/contentid/441379
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
4 Kommentare
Neuester Kommentar
Warum fackelst du das nicht direkt über das NTFS Auditing auf dem Fileserver ab?
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Naja back to Topic...
Da der Explorer für Netzwerklinks zuständig ist und diese im Exlorer geöffnet werden filterst du natürlich erst mal auf die Explorer.exe und zusätzlich noch auf die Operation QueryNetworkPhysicalNameInformationFile
Wäre es stattdessen ein Link im Web mit http(s) wäre natürlich auf den entsprechenden Browser-Prozess zu filtern und dort dann auf die Kommandozeile zusätzlich einen Filter zu legen die den -url Parameter als String enthält.
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Naja back to Topic...
Da der Explorer für Netzwerklinks zuständig ist und diese im Exlorer geöffnet werden filterst du natürlich erst mal auf die Explorer.exe und zusätzlich noch auf die Operation QueryNetworkPhysicalNameInformationFile
Wäre es stattdessen ein Link im Web mit http(s) wäre natürlich auf den entsprechenden Browser-Prozess zu filtern und dort dann auf die Kommandozeile zusätzlich einen Filter zu legen die den -url Parameter als String enthält.
1
hallo und danke timeout für deinen Ansatz.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife? Proc Mon läuft auf den Datenserver.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife? Proc Mon läuft auf den Datenserver.
Zitat von @Tutter:
hallo und danke timeout für deinen Ansatz.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife?
Du nutzt Procmon am Server das muss dafür am Client laufen.hallo und danke timeout für deinen Ansatz.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife?
Proc Mon läuft auf den Datenserver.
Falsch muss in obiger Config auf den Client.Wenn du das am Server machen willst, mach es am besten gleich übers NTFS Auditing und das Eventlog, und bei Bedarf lässt du dich via Eventlog Trigger benachrichtigen.
Beispiele gibt's hier zum Thema einige
Protokollierung gelöschter Dateien auf einem Fileserver
Schade dann wird der Ansatz von mir natürlich nicht klappen! Danke dir für deine Mühen!
