9
Software zur Netzwerküberwachung und Protokollierung
Servus,
bei einem Kundennetzwerk hat ein Mitarbeiter einen Ordner auf dem Server (wo jeder Zugriff haben muss) auf komprimiert geändert.
Jetzt will ich rausfinden wer das von denen 50 Mitarbeitern war.
Gibt es ein Programm um den Netzwerkverkehr zu überwachen um festzustellen wer den Ordner komprimiert hat?
Gruß Kernmaster
bei einem Kundennetzwerk hat ein Mitarbeiter einen Ordner auf dem Server (wo jeder Zugriff haben muss) auf komprimiert geändert.
Jetzt will ich rausfinden wer das von denen 50 Mitarbeitern war.
Gibt es ein Programm um den Netzwerkverkehr zu überwachen um festzustellen wer den Ordner komprimiert hat?
Gruß Kernmaster
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 155178
Url: https://administrator.de/forum/software-zur-netzwerkueberwachung-und-protokollierung-155178.html
Ausgedruckt am: 23.04.2025 um 02:04 Uhr
9 Kommentare
Neuester Kommentar
dürfte im Nachhinnein schwierig werden wenn keine Logdateien geführt werden..
danke für die schnelle Antwort.
Ich will es für die Zukunft einfach wissen wenn so etwas geändert wird....
Ich will es für die Zukunft einfach wissen wenn so etwas geändert wird....
http://technet.microsoft.com/de-de/sysinternals/default.aspx
schau dir mal das Tool "filemon.exe" an - evtl funktioniert das für deine Zwecke
schau dir mal das Tool "filemon.exe" an - evtl funktioniert das für deine Zwecke
Protokolliert das Tool auch die Netzwerkvorgänge mit?
In der Beschreibung hab ich nichts gefunden....
In der Beschreibung hab ich nichts gefunden....
gibt es ein Tool das direkt im Netzwerk sitzt und nich auf einem Server installiert werden muss.
Es soll praktisch alles was über den Switch läuft mitprotokollieren...
Wenn jemand auf eine Datei zugreift und was ändert usw....
Es soll praktisch alles was über den Switch läuft mitprotokollieren...
Wenn jemand auf eine Datei zugreift und was ändert usw....
Hallo,
klar kann man das. Kommt auf die Fähigkeit Deiner Infrastruktur an, dann hängst Du das eine oder andere Stück Hardware dran und bekommst den ganzen Trafik mitgeschnitten.
Dabei gibt es aber mindestens 2 Probleme:
a.) wer soll das alles lesen und auswerten?
b.) was machst Du, wenn Du gegen das 11. Gebot verstösst? (Du sollst Dich nicht erwischen lassen).
Installiere doch einfach auf jeder Workstation einen Keylogger, dann weisst Du das ganz genau. Auch da gilt natürlich die Anmerkung b.)
Achtung Explizit : IRONIE!!!!
Für so einen Mist gibt es Berechtigungen und Serverprotokolle und andere Feinheiten in Netzwerken. Wenn der Plan nicht stimmt, müsst Ihr hinterher nicht weinen. Sorry
Gruß Sam
klar kann man das. Kommt auf die Fähigkeit Deiner Infrastruktur an, dann hängst Du das eine oder andere Stück Hardware dran und bekommst den ganzen Trafik mitgeschnitten.
Dabei gibt es aber mindestens 2 Probleme:
a.) wer soll das alles lesen und auswerten?
b.) was machst Du, wenn Du gegen das 11. Gebot verstösst? (Du sollst Dich nicht erwischen lassen).
Installiere doch einfach auf jeder Workstation einen Keylogger, dann weisst Du das ganz genau. Auch da gilt natürlich die Anmerkung b.)
Achtung Explizit : IRONIE!!!!
Für so einen Mist gibt es Berechtigungen und Serverprotokolle und andere Feinheiten in Netzwerken. Wenn der Plan nicht stimmt, müsst Ihr hinterher nicht weinen. Sorry
Gruß Sam
Ich habe mich jetzt mal folgendes rausgefunden:
Im Gruppenrichtlinienobjekt-Editor unter ComputerkonfigurationWindows-EinstellungenSicherheitseinstellungenLokale RichtlinienÜberwachungsrichtlinie kann ich bestimmte Ereignisse überwachen lassen.
Wenn ich z. B. die Objekt Zugriffsversuche aktiviere müsste ja eine Meldung in den Protokollen sein, dass eine Datei geöffnet bzw geändert wurde.
Bei mir taucht aber nichts auf...
Im Gruppenrichtlinienobjekt-Editor unter ComputerkonfigurationWindows-EinstellungenSicherheitseinstellungenLokale RichtlinienÜberwachungsrichtlinie kann ich bestimmte Ereignisse überwachen lassen.
Wenn ich z. B. die Objekt Zugriffsversuche aktiviere müsste ja eine Meldung in den Protokollen sein, dass eine Datei geöffnet bzw geändert wurde.
Bei mir taucht aber nichts auf...
Grußformel zur freien Auswahl,
stimmt, guter Ansatz (fast). Jetzt ist aber leider der Zeitpunkt gekommen sich mit Sicherheitsrichtlinien und deren Gültigkeiten auseinander zu setzen. Das ist ein weiter Bereich der Adminschulung, den ich hier mit Sicherheit nicht ausführen kann/will/werde. Da gibt es im Netz Literatur ohne Ende. Überlege Dir einfach mal auf welcher wo wirklich was geändert wird.
Gruß Sam
stimmt, guter Ansatz (fast). Jetzt ist aber leider der Zeitpunkt gekommen sich mit Sicherheitsrichtlinien und deren Gültigkeiten auseinander zu setzen. Das ist ein weiter Bereich der Adminschulung, den ich hier mit Sicherheit nicht ausführen kann/will/werde. Da gibt es im Netz Literatur ohne Ende. Überlege Dir einfach mal auf welcher wo wirklich was geändert wird.
Gruß Sam
Ich habe es jetzt hinbekommen...
Jetzt ist nur noch eine Frage offen:
Das Sicherheitsprotokoll wird jetzt "zugemüllt"
Wenn jetzt z.B. eine Datei geändert wird sind das ca 30 Einträge und dadurch wird es unübersichtlich.
Gibt es eine Software die das besser ordnet?
Gruß Kernmaster
Jetzt ist nur noch eine Frage offen:
Das Sicherheitsprotokoll wird jetzt "zugemüllt"
Wenn jetzt z.B. eine Datei geändert wird sind das ca 30 Einträge und dadurch wird es unübersichtlich.
Gibt es eine Software die das besser ordnet?
Gruß Kernmaster
