genius
Goto Top

SBS 2008 Ereignisanzeige vereinfachen - Ordnerüberwachnung

Hallo Community,

ich habe folgendes Problem. Bei uns im Unternehmen wurde auf einem Netzlaufwerk ein Ordner gelöscht und keiner möchte es gewesen sein,
so wie immer. (Aussagen: Ich...Nein...Ich würde so etwas nie tun... - BlaBla, kann so etwas nicht mehr hören)

Da sich das Laufwerk auf dem SBS2008 befindet, habe ich inder GPO die Objektüberwachung aktiviert und das funzt auch,
wenn jemand jetzt einen Ordner oder Dateien löscht wird es in der Ereignisanzeige unter Sicherheit protokolliert.

Nur leider ist diese sehr unübersichtlich, durch die vielen Einträge, so ist das schwer schnell herauszufinden, WER ES WAR.

Gibt es eine Möglichkeit dieses zu vereinfachen? Leider kann ich bei Filter nicht Aufgabenkategorie auswählen,
diese wäre "Dateisystem", so könnte man es schon einschränken. (Ereignis wäre 4656)

Habt ihr da Tipps für mich oder wie Ihr es handhabt?

Nice Day.
Viele Grüße
Basti

Content-ID: 177412

Url: https://administrator.de/forum/sbs-2008-ereignisanzeige-vereinfachen-ordnerueberwachnung-177412.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

keine-ahnung
keine-ahnung 07.12.2011 um 18:00:02 Uhr
Goto Top
Hi,

überwachen ist sicher schick, aber weg ist weg?

Ich halte es so, das ich über die erweiterten Berechtigungen meinen Mädels das Löschen auf den public shares einfach nicht erlaube, und wenn es mal was zum Löschen gibt, kann ich das ja machen ...

Kleiner Mehraufwand für mich, aber die Daten gehen nicht über den Jordan ...

LG, Thomas
goscho
goscho 07.12.2011 um 18:19:00 Uhr
Goto Top
Hi Leute,
ich weiß, Backup ist was für Feige, face-big-smile
aber in solchen Fällen könnte es schon helfen, wenn man ein Backup zum Wiederherstellen der Daten hat.

Versehentliches Löschen ist kein DAU-Problem, sondern passiert auch gern erfahrenen Usern bzw. Administratoren.
keine-ahnung
keine-ahnung 07.12.2011 um 18:51:35 Uhr
Goto Top
Backup ????

Die Welt ist verrückt! Was da alles erfunden wird ... face-wink

LG, Thomas
2hard4you
2hard4you 07.12.2011 um 18:59:23 Uhr
Goto Top
Moin,

ShadowCopy ist auch aus?

ich staun dann mal ne Runde und warte, was hier noch passiert face-smile

Gruß

24
DerWoWusste
DerWoWusste 07.12.2011 um 22:30:13 Uhr
Goto Top
Moin.
Du kannst Löschen allein protokollieren oder Löschen für Unterordner und Dateien - alles was Du brauchst. Erklär ruhig ausführlich, was Dich an der Umsetzung hindert. Auditpolicy für object access an, NTFS-Auditing am Oberordner an für everyone delete bzw. delete subfolders and files und fertig.
Ich empfehle auch noch shadow copies oder alternativ ein undelete-Produkt, das einen Netzwerkmülleimer bereit stellt wie emergency undelete server es tut. Backup ist eh Pflicht, Menschen löschen doch so gerne.
genius
genius 08.12.2011 um 10:18:42 Uhr
Goto Top
Tagchen,

@keine#ahnung:
Wenn ständig jemand zu mir kommt und mir mit dem Löschen auf die Nerven geht, weil die es nicht können, dann springe ich hier im Dreieck irgendwann. Gute Idee, aber nicht realisierbar. face-monkey

Backup wird bei uns jeden Tag ausgeführt und ich konnte die Daten auch wiederherstellen, nur das Problem ist halt, wenn die Daten am Tag hergestellt werden und die dann ausversehen gelöscht werden zum Feierabend, dann sind die Weg und nicht im Backup.
Als Backup Lösung setzen wir Symantec BackupExec.

@2hard4you:
ShadowCopy, welche Tools könnt ihr da empfehlen, wird dann nicht alles langsamer, weil ständig geschrieben wird? face-smile

@DerWoWusste:
Ich brauche nur die Protokollierung, wenn jemand etwas löscht, kannst du deine Beschreibung etwas einfacher formulieren. *grins*
Natürlich könnte man ein Undelete Tool laufen lassen, aber das dann jedes Mal und gerade bei unseren Datenmengen als Werbeagentur dauert das ein bißchen. face-wink
Netzwerkmülleimer, finde ich gut die Idee, aber we kann ich so etwas einrichten, aber da noch keine Erfahrungen.

Ich möchte mit der Ordnerüberwachung niemanden anschwärzen oder so, aber es ist halt besser nachzuvollziehen, wenn jemand mal etwas versehentlich löscht. face-devilish


Danke euch
goscho
goscho 08.12.2011 um 10:29:07 Uhr
Goto Top
Zitat von @genius:
Tagchen,
Backup wird bei uns jeden Tag ausgeführt und ich konnte die Daten auch wiederherstellen, nur das Problem ist halt, wenn die
Daten am Tag hergestellt werden und die dann ausversehen gelöscht werden zum Feierabend, dann sind die Weg und nicht im
Backup.
Als Backup Lösung setzen wir Symantec BackupExec.
@2hard4you:
ShadowCopy, welche Tools könnt ihr da empfehlen, wird dann nicht alles langsamer, weil ständig geschrieben wird? face-smile
Dann solltest du CPS (Continuous Protection Server) von BE einsetzen. Ist etwa so wie Shadow Copy (nur besser und komfortabler, benötigt aber eigenen Server).
DerWoWusste
DerWoWusste 08.12.2011 um 18:41:17 Uhr
Goto Top
Zum Undelete-Tool: ich spreche nicht von der Suche nach gelöschten Dateien. Undelete Server hält die letzten x GB gelöschte Daten einfach auf dem Server nur dem Admin zugänglich vor (x ist konfigurierbar) - das meinte ich mir Netzwerkmülleimer. Sie sind immer und sofort wiederherstellbar.
Zum Auditing: Du musst Dich schlau machen, nicht ich Dich. Ich habe genau beschrieben, was zu tun ist und die Begriffe genannt. Etwas Elan kann man von einem Genius erwarten, oder? ;)
genius
genius 09.12.2011 um 15:03:18 Uhr
Goto Top
@ DerWoWusste:
Elan ist immer vorhanden, nur immer eine Frage der Zeit. 0face-smile
Ich werde zum Thema Auditing dann mal G... fragen.

Kannst du Undelete Tools empfehlen, die den Netzwerkmülleimer beinhalten?

@goscho:
Du bist BE Spezi oder? face-wink
Zum Verständnis: Um das CPS von BE einzusetzen, müsste ich BE seperat auf einen Extra Server installieren, der den anderen Server dann überwacht, gibt es dazu irgendwie ein Tutorial zur Einrichtung? face-smile

Danke
goscho
goscho 09.12.2011 um 15:15:23 Uhr
Goto Top
Zitat von @genius:
@goscho:
Du bist BE Spezi oder? face-wink
Ne, das kann man so nicht sagen. Ich habe BE halt schon 1 bis 2 Mal installiert. face-wink
Zum Verständnis: Um das CPS von BE einzusetzen, müsste ich BE seperat auf einen Extra Server installieren, der den
anderen Server dann überwacht, gibt es dazu irgendwie ein Tutorial zur Einrichtung? face-smile
Stimmt, das muss auf einen eigenen Server (der kann aber mehrere File-Server sichern) und muss mindestens ein W2K3 sein.

Du suchst eine Anleitung?
Im Installationsverzeichnis von CPS im Unterordner Docs gibts Adminhandbücher in sehr vielen Sprachen (auch deutsch). Das ist ca. 230 Seiten lang.

Danke
Bitte, gerne doch
DerWoWusste
DerWoWusste 09.12.2011 um 15:41:35 Uhr
Goto Top
Meister.

Du hast doch Auditing schon laufen. Ich habe Dich gebeten, zu sagen, was Dich an der Umsetzung hindert. Eine bebilderte Anleitung kommt nicht, auch nicht von G.
Zu den undelete Tools: Ich hab Dir bereits eins empfohlen: http://www.diskeeper.com/business/undelete/server/default.aspx
genius
genius 09.12.2011 um 16:17:28 Uhr
Goto Top
@DerWoWusste:
Das mit dem Tool habe ich irgendwie überlesen, sorry.
An der Umsetzung hindert mich nichts, es läuft ja auch.
Meine eigentliche Frage war ja auch, wie die Ereignisanzeige zur Auswertung bei solch einem versehentlichen Löschen von Dateien oder Ordner übersichtlicher gemacht werden kann,
weil dort viele Eintröge gelistet werden und daher es nicht schnell herauszufinden ist.
Am liebsten würde ich einen Filter oder Suche haben, wo ich den Dateinamen oder Ordnernamen eingebe und er das Protokoll durchsucht,
das geht jetzt leider nicht.
DerWoWusste
DerWoWusste 09.12.2011 um 16:30:46 Uhr
Goto Top
Doch. Die Suche. Das Fernglas.
genius
genius 09.12.2011 um 16:49:39 Uhr
Goto Top
ja die könnte man verwenden, aber das ist nicht gerade sehr hilfreich.
Schön wäre es nach folgenden Kriterien zu suchen:
Ereignis: 4656 und
Dateianme: ... oder
Username: ...
Kann man nicht eine eigene Protokollieren einrichten, die nur das protokolliert, so wäre es übersichtlich?
genius
genius 09.12.2011 um 16:52:52 Uhr
Goto Top
Oder nach der Aufgabenkategorie, dies wäre Dateisystem.
2hard4you
2hard4you 09.12.2011 um 21:34:12 Uhr
Goto Top
Moin,

was ist das Problem? Du hast nen 2008 SBS, Du kannst im Eventlog einstellen, bei welcher EventID Du ne Mail bekommst - warum machst Du das nicht?

Gruß

24
genius
genius 13.12.2011 um 11:49:49 Uhr
Goto Top
Das Problem ist, dass unter dieser EventId mehrere Vorkommnisse protokolliert werden und nicht DELETE, sondern Objektzugriffsereignisse svchost.exe.
2hard4you
2hard4you 13.12.2011 um 23:10:46 Uhr
Goto Top
Moin,

dann setze einen Filter drüber oder schraub den Logginglevel hoch...

Gruß

24