Wenn auch 1 Ordern Auditing eingeschaltet ist im Filesystem. Wo finde ich die Logs hierzu ?
Hallo,
wie im Prinstcreen zu sehen, habe ich Auditing eingeschaltet.
Nun wurden Files gelöscht. Wo finde ich den Log hierzu ?
Gruss
Jonas
wie im Prinstcreen zu sehen, habe ich Auditing eingeschaltet.
Nun wurden Files gelöscht. Wo finde ich den Log hierzu ?
Gruss
Jonas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 479147
Url: https://administrator.de/forum/wenn-auch-1-ordern-auditing-eingeschaltet-ist-im-filesystem-wo-finde-ich-die-logs-hierzu-479147.html
Ausgedruckt am: 07.04.2025 um 10:04 Uhr
13 Kommentare
Neuester Kommentar

Im Security-Eventlog.
Man könnte es ja auch mal selbst nachschlagen, in der Zeit wie man so einen Beitrag schreibt hat man sowas schnell selbst gefunden!
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
Protokollierung gelöschter Dateien auf einem Fileserver
Man könnte es ja auch mal selbst nachschlagen, in der Zeit wie man so einen Beitrag schreibt hat man sowas schnell selbst gefunden!
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
Protokollierung gelöschter Dateien auf einem Fileserver

Ooouh, das wird nicht einfach mit dem Namen "Merkel"
, das könnte dann >14 Jahre dauern.

Falsches Event siehe Links oben, das was du uns hier zeigst ist nur der Lesezugriff auf das Verzeichnis der geloggt wird, sagt ja schon die Access Mask, 0x1 ist Read/List und da kann es keinen dazugehörigen Dateinamen geben, hier ist der ObjectName das Verzeichnis auf welches Lesezugriff angefordert wird!.
Btw. wenn man nur das Dateisystem überwachen möchte und nicht noch andere Object-Events besser die Richtlinie gleich feiner definieren:
Btw. wenn man nur das Dateisystem überwachen möchte und nicht noch andere Object-Events besser die Richtlinie gleich feiner definieren:

Ab und zu neu starten hilft, gerade bei deinen "Trial&Error" Sessions hier.

Dir sollte dann aber hoffentlich klar sein das das nur erfolglose Zugriffe loggt. Also wenn jemandem der Zugriff verweigert wird. Hat jemand das entsprechende Recht zum löschen/lesen/ändern whatever wird dies nicht vermerkt.

ObjectName D:\Scanning\Done\test.txt
Was willst du eigentlich? Das was du suchst, der Pfad steht doch da!AccessMask 0x10080
Die Access-Mask bedeutet:- Dateiattribute lesen
- Löschen
Is es heute schon wieder so heiß??
Laut dem hier , wäre 1537 aber löschen !
Nein, die Access Mask ist entscheidend. Anhand der EventID lässt sich schon lang nicht mehr unterscheiden um was für einen Zugriff es sich handelt. Hättest du meinen Link hier oben aus dem Forum zumindest mal durchgelesen wäre dir das klar.
Zitat von @merkel:
ja es ist so gut. Ich muss ja nun nur schauen wo 1547 steht. Dann ist von dem User gelöscht etc..
Die Access Mask ist endgültig entscheidend und anhand der kann man per Bit-Operation einfach feststellen was Sache ist, hier schon fix und fertig, -band 0x1000:ja es ist so gut. Ich muss ja nun nur schauen wo 1547 steht. Dann ist von dem User gelöscht etc..
Protokollierung gelöschter Dateien auf einem Fileserver