18
SBS 2008 Ereignisanzeige vereinfachen - Ordnerüberwachnung
Hallo Community,
ich habe folgendes Problem. Bei uns im Unternehmen wurde auf einem Netzlaufwerk ein Ordner gelöscht und keiner möchte es gewesen sein,
so wie immer. (Aussagen: Ich...Nein...Ich würde so etwas nie tun... - BlaBla, kann so etwas nicht mehr hören)
Da sich das Laufwerk auf dem SBS2008 befindet, habe ich inder GPO die Objektüberwachung aktiviert und das funzt auch,
wenn jemand jetzt einen Ordner oder Dateien löscht wird es in der Ereignisanzeige unter Sicherheit protokolliert.
Nur leider ist diese sehr unübersichtlich, durch die vielen Einträge, so ist das schwer schnell herauszufinden, WER ES WAR.
Gibt es eine Möglichkeit dieses zu vereinfachen? Leider kann ich bei Filter nicht Aufgabenkategorie auswählen,
diese wäre "Dateisystem", so könnte man es schon einschränken. (Ereignis wäre 4656)
Habt ihr da Tipps für mich oder wie Ihr es handhabt?
Nice Day.
Viele Grüße
Basti
ich habe folgendes Problem. Bei uns im Unternehmen wurde auf einem Netzlaufwerk ein Ordner gelöscht und keiner möchte es gewesen sein,
so wie immer. (Aussagen: Ich...Nein...Ich würde so etwas nie tun... - BlaBla, kann so etwas nicht mehr hören)
Da sich das Laufwerk auf dem SBS2008 befindet, habe ich inder GPO die Objektüberwachung aktiviert und das funzt auch,
wenn jemand jetzt einen Ordner oder Dateien löscht wird es in der Ereignisanzeige unter Sicherheit protokolliert.
Nur leider ist diese sehr unübersichtlich, durch die vielen Einträge, so ist das schwer schnell herauszufinden, WER ES WAR.
Gibt es eine Möglichkeit dieses zu vereinfachen? Leider kann ich bei Filter nicht Aufgabenkategorie auswählen,
diese wäre "Dateisystem", so könnte man es schon einschränken. (Ereignis wäre 4656)
Habt ihr da Tipps für mich oder wie Ihr es handhabt?
Nice Day.
Viele Grüße
Basti
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177412
Url: https://administrator.de/contentid/177412
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
18 Kommentare
Neuester Kommentar
Hi,
überwachen ist sicher schick, aber weg ist weg?
Ich halte es so, das ich über die erweiterten Berechtigungen meinen Mädels das Löschen auf den public shares einfach nicht erlaube, und wenn es mal was zum Löschen gibt, kann ich das ja machen ...
Kleiner Mehraufwand für mich, aber die Daten gehen nicht über den Jordan ...
LG, Thomas
überwachen ist sicher schick, aber weg ist weg?
Ich halte es so, das ich über die erweiterten Berechtigungen meinen Mädels das Löschen auf den public shares einfach nicht erlaube, und wenn es mal was zum Löschen gibt, kann ich das ja machen ...
Kleiner Mehraufwand für mich, aber die Daten gehen nicht über den Jordan ...
LG, Thomas
Hi Leute,
ich weiß, Backup ist was für Feige,
aber in solchen Fällen könnte es schon helfen, wenn man ein Backup zum Wiederherstellen der Daten hat.
Versehentliches Löschen ist kein DAU-Problem, sondern passiert auch gern erfahrenen Usern bzw. Administratoren.
ich weiß, Backup ist was für Feige,
aber in solchen Fällen könnte es schon helfen, wenn man ein Backup zum Wiederherstellen der Daten hat.
Versehentliches Löschen ist kein DAU-Problem, sondern passiert auch gern erfahrenen Usern bzw. Administratoren.
Backup ????
Die Welt ist verrückt! Was da alles erfunden wird ...
LG, Thomas
Die Welt ist verrückt! Was da alles erfunden wird ...
LG, Thomas
Moin,
ShadowCopy ist auch aus?
ich staun dann mal ne Runde und warte, was hier noch passiert
Gruß
24
ShadowCopy ist auch aus?
ich staun dann mal ne Runde und warte, was hier noch passiert
Gruß
24
Moin.
Du kannst Löschen allein protokollieren oder Löschen für Unterordner und Dateien - alles was Du brauchst. Erklär ruhig ausführlich, was Dich an der Umsetzung hindert. Auditpolicy für object access an, NTFS-Auditing am Oberordner an für everyone delete bzw. delete subfolders and files und fertig.
Ich empfehle auch noch shadow copies oder alternativ ein undelete-Produkt, das einen Netzwerkmülleimer bereit stellt wie emergency undelete server es tut. Backup ist eh Pflicht, Menschen löschen doch so gerne.
Du kannst Löschen allein protokollieren oder Löschen für Unterordner und Dateien - alles was Du brauchst. Erklär ruhig ausführlich, was Dich an der Umsetzung hindert. Auditpolicy für object access an, NTFS-Auditing am Oberordner an für everyone delete bzw. delete subfolders and files und fertig.
Ich empfehle auch noch shadow copies oder alternativ ein undelete-Produkt, das einen Netzwerkmülleimer bereit stellt wie emergency undelete server es tut. Backup ist eh Pflicht, Menschen löschen doch so gerne.
Tagchen,
@keine#ahnung:
Wenn ständig jemand zu mir kommt und mir mit dem Löschen auf die Nerven geht, weil die es nicht können, dann springe ich hier im Dreieck irgendwann. Gute Idee, aber nicht realisierbar.
Backup wird bei uns jeden Tag ausgeführt und ich konnte die Daten auch wiederherstellen, nur das Problem ist halt, wenn die Daten am Tag hergestellt werden und die dann ausversehen gelöscht werden zum Feierabend, dann sind die Weg und nicht im Backup.
Als Backup Lösung setzen wir Symantec BackupExec.
@2hard4you:
ShadowCopy, welche Tools könnt ihr da empfehlen, wird dann nicht alles langsamer, weil ständig geschrieben wird?
@DerWoWusste:
Ich brauche nur die Protokollierung, wenn jemand etwas löscht, kannst du deine Beschreibung etwas einfacher formulieren. *grins*
Natürlich könnte man ein Undelete Tool laufen lassen, aber das dann jedes Mal und gerade bei unseren Datenmengen als Werbeagentur dauert das ein bißchen.
Netzwerkmülleimer, finde ich gut die Idee, aber we kann ich so etwas einrichten, aber da noch keine Erfahrungen.
Ich möchte mit der Ordnerüberwachung niemanden anschwärzen oder so, aber es ist halt besser nachzuvollziehen, wenn jemand mal etwas versehentlich löscht.
Danke euch
@keine#ahnung:
Wenn ständig jemand zu mir kommt und mir mit dem Löschen auf die Nerven geht, weil die es nicht können, dann springe ich hier im Dreieck irgendwann. Gute Idee, aber nicht realisierbar.
Backup wird bei uns jeden Tag ausgeführt und ich konnte die Daten auch wiederherstellen, nur das Problem ist halt, wenn die Daten am Tag hergestellt werden und die dann ausversehen gelöscht werden zum Feierabend, dann sind die Weg und nicht im Backup.
Als Backup Lösung setzen wir Symantec BackupExec.
@2hard4you:
ShadowCopy, welche Tools könnt ihr da empfehlen, wird dann nicht alles langsamer, weil ständig geschrieben wird?
@DerWoWusste:
Ich brauche nur die Protokollierung, wenn jemand etwas löscht, kannst du deine Beschreibung etwas einfacher formulieren. *grins*
Natürlich könnte man ein Undelete Tool laufen lassen, aber das dann jedes Mal und gerade bei unseren Datenmengen als Werbeagentur dauert das ein bißchen.
Netzwerkmülleimer, finde ich gut die Idee, aber we kann ich so etwas einrichten, aber da noch keine Erfahrungen.
Ich möchte mit der Ordnerüberwachung niemanden anschwärzen oder so, aber es ist halt besser nachzuvollziehen, wenn jemand mal etwas versehentlich löscht.
Danke euch
Zitat von @genius:
Tagchen,
Backup wird bei uns jeden Tag ausgeführt und ich konnte die Daten auch wiederherstellen, nur das Problem ist halt, wenn die
Daten am Tag hergestellt werden und die dann ausversehen gelöscht werden zum Feierabend, dann sind die Weg und nicht im
Backup.
Als Backup Lösung setzen wir Symantec BackupExec.
@2hard4you:
ShadowCopy, welche Tools könnt ihr da empfehlen, wird dann nicht alles langsamer, weil ständig geschrieben wird?
Dann solltest du CPS (Continuous Protection Server) von BE einsetzen. Ist etwa so wie Shadow Copy (nur besser und komfortabler, benötigt aber eigenen Server).Tagchen,
Backup wird bei uns jeden Tag ausgeführt und ich konnte die Daten auch wiederherstellen, nur das Problem ist halt, wenn die
Daten am Tag hergestellt werden und die dann ausversehen gelöscht werden zum Feierabend, dann sind die Weg und nicht im
Backup.
Als Backup Lösung setzen wir Symantec BackupExec.
@2hard4you:
ShadowCopy, welche Tools könnt ihr da empfehlen, wird dann nicht alles langsamer, weil ständig geschrieben wird?
Zum Undelete-Tool: ich spreche nicht von der Suche nach gelöschten Dateien. Undelete Server hält die letzten x GB gelöschte Daten einfach auf dem Server nur dem Admin zugänglich vor (x ist konfigurierbar) - das meinte ich mir Netzwerkmülleimer. Sie sind immer und sofort wiederherstellbar.
Zum Auditing: Du musst Dich schlau machen, nicht ich Dich. Ich habe genau beschrieben, was zu tun ist und die Begriffe genannt. Etwas Elan kann man von einem Genius erwarten, oder? ;)
Zum Auditing: Du musst Dich schlau machen, nicht ich Dich. Ich habe genau beschrieben, was zu tun ist und die Begriffe genannt. Etwas Elan kann man von einem Genius erwarten, oder? ;)
@ DerWoWusste:
Elan ist immer vorhanden, nur immer eine Frage der Zeit. 0
Ich werde zum Thema Auditing dann mal G... fragen.
Kannst du Undelete Tools empfehlen, die den Netzwerkmülleimer beinhalten?
@goscho:
Du bist BE Spezi oder?
Zum Verständnis: Um das CPS von BE einzusetzen, müsste ich BE seperat auf einen Extra Server installieren, der den anderen Server dann überwacht, gibt es dazu irgendwie ein Tutorial zur Einrichtung?
Danke
Elan ist immer vorhanden, nur immer eine Frage der Zeit. 0
Ich werde zum Thema Auditing dann mal G... fragen.
Kannst du Undelete Tools empfehlen, die den Netzwerkmülleimer beinhalten?
@goscho:
Du bist BE Spezi oder?
Zum Verständnis: Um das CPS von BE einzusetzen, müsste ich BE seperat auf einen Extra Server installieren, der den anderen Server dann überwacht, gibt es dazu irgendwie ein Tutorial zur Einrichtung?
Danke
Ne, das kann man so nicht sagen. Ich habe BE halt schon 1 bis 2 Mal installiert.
Du suchst eine Anleitung?
Im Installationsverzeichnis von CPS im Unterordner Docs gibts Adminhandbücher in sehr vielen Sprachen (auch deutsch). Das ist ca. 230 Seiten lang.
Zum Verständnis: Um das CPS von BE einzusetzen, müsste ich BE seperat auf einen Extra Server installieren, der den
anderen Server dann überwacht, gibt es dazu irgendwie ein Tutorial zur Einrichtung?
Stimmt, das muss auf einen eigenen Server (der kann aber mehrere File-Server sichern) und muss mindestens ein W2K3 sein.anderen Server dann überwacht, gibt es dazu irgendwie ein Tutorial zur Einrichtung?
Du suchst eine Anleitung?
Im Installationsverzeichnis von CPS im Unterordner Docs gibts Adminhandbücher in sehr vielen Sprachen (auch deutsch). Das ist ca. 230 Seiten lang.
Danke
Bitte, gerne doch
Meister.
Du hast doch Auditing schon laufen. Ich habe Dich gebeten, zu sagen, was Dich an der Umsetzung hindert. Eine bebilderte Anleitung kommt nicht, auch nicht von G.
Zu den undelete Tools: Ich hab Dir bereits eins empfohlen: http://www.diskeeper.com/business/undelete/server/default.aspx
Du hast doch Auditing schon laufen. Ich habe Dich gebeten, zu sagen, was Dich an der Umsetzung hindert. Eine bebilderte Anleitung kommt nicht, auch nicht von G.
Zu den undelete Tools: Ich hab Dir bereits eins empfohlen: http://www.diskeeper.com/business/undelete/server/default.aspx
@DerWoWusste:
Das mit dem Tool habe ich irgendwie überlesen, sorry.
An der Umsetzung hindert mich nichts, es läuft ja auch.
Meine eigentliche Frage war ja auch, wie die Ereignisanzeige zur Auswertung bei solch einem versehentlichen Löschen von Dateien oder Ordner übersichtlicher gemacht werden kann,
weil dort viele Eintröge gelistet werden und daher es nicht schnell herauszufinden ist.
Am liebsten würde ich einen Filter oder Suche haben, wo ich den Dateinamen oder Ordnernamen eingebe und er das Protokoll durchsucht,
das geht jetzt leider nicht.
Das mit dem Tool habe ich irgendwie überlesen, sorry.
An der Umsetzung hindert mich nichts, es läuft ja auch.
Meine eigentliche Frage war ja auch, wie die Ereignisanzeige zur Auswertung bei solch einem versehentlichen Löschen von Dateien oder Ordner übersichtlicher gemacht werden kann,
weil dort viele Eintröge gelistet werden und daher es nicht schnell herauszufinden ist.
Am liebsten würde ich einen Filter oder Suche haben, wo ich den Dateinamen oder Ordnernamen eingebe und er das Protokoll durchsucht,
das geht jetzt leider nicht.
Doch. Die Suche. Das Fernglas.
ja die könnte man verwenden, aber das ist nicht gerade sehr hilfreich.
Schön wäre es nach folgenden Kriterien zu suchen:
Ereignis: 4656 und
Dateianme: ... oder
Username: ...
Kann man nicht eine eigene Protokollieren einrichten, die nur das protokolliert, so wäre es übersichtlich?
Schön wäre es nach folgenden Kriterien zu suchen:
Ereignis: 4656 und
Dateianme: ... oder
Username: ...
Kann man nicht eine eigene Protokollieren einrichten, die nur das protokolliert, so wäre es übersichtlich?
Oder nach der Aufgabenkategorie, dies wäre Dateisystem.
Moin,
was ist das Problem? Du hast nen 2008 SBS, Du kannst im Eventlog einstellen, bei welcher EventID Du ne Mail bekommst - warum machst Du das nicht?
Gruß
24
was ist das Problem? Du hast nen 2008 SBS, Du kannst im Eventlog einstellen, bei welcher EventID Du ne Mail bekommst - warum machst Du das nicht?
Gruß
24
Das Problem ist, dass unter dieser EventId mehrere Vorkommnisse protokolliert werden und nicht DELETE, sondern Objektzugriffsereignisse svchost.exe.
Moin,
dann setze einen Filter drüber oder schraub den Logginglevel hoch...
Gruß
24
dann setze einen Filter drüber oder schraub den Logginglevel hoch...
Gruß
24
