Überwachungsrichtlinie
Hallo in die Runde!
Bei uns sind in letzter Zeit aus ungeklären Gründen Schülerordner verschwunden. Um den Grund herauszufinden, habe ich auf unserem DomänenController (zugleich Fileserver) jetzt eine Überwachungsrichtlinie eingerichtet, die Löschvorgänge protokollieren soll. Das tut sie auch, aber:
Mir wäre es am liebsten, wenn nur dann ein Ereignisprotokolleintrag erzeugt wird, wenn im Verzeichnis d:\benutzerdaten\schüler ein Unterordner gelöscht wird. Kann ich das umsetzen, und wenn ja, wie?
Schöne Grüße von der Elbe!
Winfried
Bei uns sind in letzter Zeit aus ungeklären Gründen Schülerordner verschwunden. Um den Grund herauszufinden, habe ich auf unserem DomänenController (zugleich Fileserver) jetzt eine Überwachungsrichtlinie eingerichtet, die Löschvorgänge protokollieren soll. Das tut sie auch, aber:
- werden leider auch andere Dateioperationen gelöscht, obwohl ich gemäß dieser Anleitung unter "Zugriff" nur "Löschen" sowie "Unterverzeichnisse und Dateien löschen" ausgewählt habe. Das überschwemmt fast das EventLog.
- werden auch "unechte" Löschvorgänge protokolliert. Windows (oder NTFS) sieht z.B. ein Umbennenen einer Datei als zwei Vorgänge, nämlich als Löschen der alten und Schreiben der neuen Datei. Das macht es später schwer, die echten Löschvorgänge herauszufiltern, da sie die gleiche Ereignis-ID haben.
Mir wäre es am liebsten, wenn nur dann ein Ereignisprotokolleintrag erzeugt wird, wenn im Verzeichnis d:\benutzerdaten\schüler ein Unterordner gelöscht wird. Kann ich das umsetzen, und wenn ja, wie?
Schöne Grüße von der Elbe!
Winfried
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 368694
Url: https://administrator.de/forum/ueberwachungsrichtlinie-368694.html
Ausgedruckt am: 04.04.2025 um 11:04 Uhr
6 Kommentare
Neuester Kommentar
Servus Winfried.
Und dann an folgende Anleitung zum Ausfiltern halten
Protokollierung gelöschter Dateien auf einem Fileserver
Dann klappt's auch mit dem Nachbarn
.
Grüße Uwe
Zitat von @Winfried-HH:
Das ist ja auch genau falsch, du musst hier die Propagation-Flags nicht auf Dateien setzen sondern nur auf Ordner und Unterordner keine Dateien!- werden leider auch andere Dateioperationen gelöscht, obwohl ich gemäß dieser Anleitung unter "Zugriff" nur "Löschen" sowie "Unterverzeichnisse und Dateien löschen" ausgewählt habe.
Und dann an folgende Anleitung zum Ausfiltern halten
Protokollierung gelöschter Dateien auf einem Fileserver
Dann klappt's auch mit dem Nachbarn
Grüße Uwe
Zitat von @Winfried-HH:
Das verhindert aber auch nicht, dass mir z.B. das Umbenennen eines Ordners als Löschen angezeigt wird, weil NTFS-technisch das Verzeichnis mit dem alten Namen gelöscht wird, oder?
Richtig, aber so gesehen trägt dann das Umbenennen auch einen Teil zur Verwirrung bei wenn ein Ordner nicht mehr so heißt wie früher.Das verhindert aber auch nicht, dass mir z.B. das Umbenennen eines Ordners als Löschen angezeigt wird, weil NTFS-technisch das Verzeichnis mit dem alten Namen gelöscht wird, oder?
Also lieber einen Eintrag mehr als zu wenig. Man greift ja auch nur wirklich drauf zurück wenn mal was weg ist. Man sollte ja primär die Rechte der Ordner richtig setzen und nicht mit dem Log hinterherräumen.
Zusätzliche Schattenkopien und Backups tragen ebenfalls zum Sicherungskonzept mit bei.
Schau dir auch einmal die File Server Ressource Manager Rolle an, mit der lassen sich solche und noch viel mehr Szenarien gezielt automatisieren.
Das Loggen soll praktisch helfen, den Grund zu finden.
Das macht es ja auch, ob da nun ein paar mehr Einträge drin sind die Umbenennen waren, spielt ja keine Rolle wenn man gezielt nach Ordnern sucht. Da hilft dir dann auch das Powershell-Skript zum gezieltem Suchen in den Ergebnissen bzw. den Pfaden des Logs, da brauchst du nicht "manuell" in den Logs suchen, das wäre ja Zeitverschwendung hoch drei.