4
Proc Mon herausfinden wer über Hyperlink auf Datei zugreift
Hallo,
ich muss rausfinden wer über einen Hyperlink auf eine Datei auf dem File-Server zugreift. Dazu würde sich ja Proc Mon anbieten aber was stelle ich im Filter ein?
Mit "Operation -> is -> ReadFile"- Filter bekomme ich raus wer auf die Datei zugreift. Geschieht das jedoch über einen Hyperlink reagiert Proc Mon nicht.
Was muss ich einstellen?
ich muss rausfinden wer über einen Hyperlink auf eine Datei auf dem File-Server zugreift. Dazu würde sich ja Proc Mon anbieten aber was stelle ich im Filter ein?
Mit "Operation -> is -> ReadFile"- Filter bekomme ich raus wer auf die Datei zugreift. Geschieht das jedoch über einen Hyperlink reagiert Proc Mon nicht.
Was muss ich einstellen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 441379
Url: https://administrator.de/contentid/441379
Printed on: April 19, 2024 at 01:04 o'clock
4 Comments
Latest comment
Warum fackelst du das nicht direkt über das NTFS Auditing auf dem Fileserver ab?
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Naja back to Topic...
Da der Explorer für Netzwerklinks zuständig ist und diese im Exlorer geöffnet werden filterst du natürlich erst mal auf die Explorer.exe und zusätzlich noch auf die Operation QueryNetworkPhysicalNameInformationFile
Wäre es stattdessen ein Link im Web mit http(s) wäre natürlich auf den entsprechenden Browser-Prozess zu filtern und dort dann auf die Kommandozeile zusätzlich einen Filter zu legen die den -url Parameter als String enthält.
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Naja back to Topic...
Da der Explorer für Netzwerklinks zuständig ist und diese im Exlorer geöffnet werden filterst du natürlich erst mal auf die Explorer.exe und zusätzlich noch auf die Operation QueryNetworkPhysicalNameInformationFile
Wäre es stattdessen ein Link im Web mit http(s) wäre natürlich auf den entsprechenden Browser-Prozess zu filtern und dort dann auf die Kommandozeile zusätzlich einen Filter zu legen die den -url Parameter als String enthält.
1
hallo und danke timeout für deinen Ansatz.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife? Proc Mon läuft auf den Datenserver.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife? Proc Mon läuft auf den Datenserver.
Zitat von @Tutter:
hallo und danke timeout für deinen Ansatz.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife?
Du nutzt Procmon am Server das muss dafür am Client laufen.hallo und danke timeout für deinen Ansatz.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife?
Proc Mon läuft auf den Datenserver.
Falsch muss in obiger Config auf den Client.Wenn du das am Server machen willst, mach es am besten gleich übers NTFS Auditing und das Eventlog, und bei Bedarf lässt du dich via Eventlog Trigger benachrichtigen.
Beispiele gibt's hier zum Thema einige
Protokollierung gelöschter Dateien auf einem Fileserver
Schade dann wird der Ansatz von mir natürlich nicht klappen! Danke dir für deine Mühen!
