Proc Mon herausfinden wer über Hyperlink auf Datei zugreift
Hallo,
ich muss rausfinden wer über einen Hyperlink auf eine Datei auf dem File-Server zugreift. Dazu würde sich ja Proc Mon anbieten aber was stelle ich im Filter ein?
Mit "Operation -> is -> ReadFile"- Filter bekomme ich raus wer auf die Datei zugreift. Geschieht das jedoch über einen Hyperlink reagiert Proc Mon nicht.
Was muss ich einstellen?
ich muss rausfinden wer über einen Hyperlink auf eine Datei auf dem File-Server zugreift. Dazu würde sich ja Proc Mon anbieten aber was stelle ich im Filter ein?
Mit "Operation -> is -> ReadFile"- Filter bekomme ich raus wer auf die Datei zugreift. Geschieht das jedoch über einen Hyperlink reagiert Proc Mon nicht.
Was muss ich einstellen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 441379
Url: https://administrator.de/forum/proc-mon-herausfinden-wer-ueber-hyperlink-auf-datei-zugreift-441379.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
4 Kommentare
Neuester Kommentar
Warum fackelst du das nicht direkt über das NTFS Auditing auf dem Fileserver ab?
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Naja back to Topic...
Da der Explorer für Netzwerklinks zuständig ist und diese im Exlorer geöffnet werden filterst du natürlich erst mal auf die Explorer.exe und zusätzlich noch auf die Operation QueryNetworkPhysicalNameInformationFile
Wäre es stattdessen ein Link im Web mit http(s) wäre natürlich auf den entsprechenden Browser-Prozess zu filtern und dort dann auf die Kommandozeile zusätzlich einen Filter zu legen die den -url Parameter als String enthält.
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Naja back to Topic...
Da der Explorer für Netzwerklinks zuständig ist und diese im Exlorer geöffnet werden filterst du natürlich erst mal auf die Explorer.exe und zusätzlich noch auf die Operation QueryNetworkPhysicalNameInformationFile
Wäre es stattdessen ein Link im Web mit http(s) wäre natürlich auf den entsprechenden Browser-Prozess zu filtern und dort dann auf die Kommandozeile zusätzlich einen Filter zu legen die den -url Parameter als String enthält.
Zitat von @Tutter:
hallo und danke timeout für deinen Ansatz.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife?
Du nutzt Procmon am Server das muss dafür am Client laufen.hallo und danke timeout für deinen Ansatz.
Jedoch muss ich leider sagen das es bei mir nicht funktioniert. Ich habe zu Testzwecken den Pfad im Explorer direkt eingegeben und aufgerufen. Jedoch reagiert ProcMon, mit der von dir vorgeschlagenen Einstellung, nicht. Liegt es daran das ich vom Client auf den Datenserver zugreife?
Proc Mon läuft auf den Datenserver.
Falsch muss in obiger Config auf den Client.Wenn du das am Server machen willst, mach es am besten gleich übers NTFS Auditing und das Eventlog, und bei Bedarf lässt du dich via Eventlog Trigger benachrichtigen.
Beispiele gibt's hier zum Thema einige
Protokollierung gelöschter Dateien auf einem Fileserver