merkel
30.07.2019
view884
view13
0
Goto Top

Wenn auch 1 Ordern Auditing eingeschaltet ist im Filesystem. Wo finde ich die Logs hierzu ?

gelöstFrageMicrosoftWindows Server
Hallo,

wie im Prinstcreen zu sehen, habe ich Auditing eingeschaltet.

auditing

Nun wurden Files gelöscht. Wo finde ich den Log hierzu ?

Gruss
Jonas
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 479147

Url: https://administrator.de/forum/wenn-auch-1-ordern-auditing-eingeschaltet-ist-im-filesystem-wo-finde-ich-die-logs-hierzu-479147.html

Ausgedruckt am: 07.04.2025 um 10:04 Uhr

13 Kommentare
Neuester Kommentar
Goto Top
140447
140447 30.07.2019 aktualisiert um 10:25:55 Uhr
Goto Top
Im Security-Eventlog.
Man könnte es ja auch mal selbst nachschlagen, in der Zeit wie man so einen Beitrag schreibt hat man sowas schnell selbst gefunden!
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
Protokollierung gelöschter Dateien auf einem Fileserver
erikro
erikro 30.07.2019 um 10:36:56 Uhr
Goto Top
Oder einfach mal nachdenken, wo man denn die Logs eines Windows-Systems so normalerweise findet. face-wink
140447
140447 30.07.2019 aktualisiert um 10:47:54 Uhr
Goto Top
Zitat von @erikro:
Oder einfach mal nachdenken
Ooouh, das wird nicht einfach mit dem Namen "Merkel" face-smile, das könnte dann >14 Jahre dauern.
merkel
merkel 30.07.2019 um 10:48:54 Uhr
Goto Top
Hallo,

es kamen eben mit dem Punkt "Audit Object Access" keine Logs im Eventvwr.
Nun habe ich laut der Anleitung
https://www.lepide.com/how-to/enable-file-folder-access-auditing-windows ...

nioch in der Lokalen Policy "Enable

Nun kommt aber im Security Log nur:

  SubjectUserSid S-1-5-21-3822937950-2270363862-131729381-5128 
  SubjectUserName admin.h 
  SubjectDomainName PLACE 
  SubjectLogonId 0x6c46a9b56 
  ObjectServer Security 
  ObjectType File 
  ObjectName D:\Scanning\Done 
  HandleId 0xb0c 
  AccessList %%4416  
  AccessMask 0x1 
  ProcessId 0xd484 
  ProcessName C:\Windows\explorer.exe 
  ResourceAttributes S:AI

Der Filename ist nicht sichtbar.
140447
Lösung 140447 30.07.2019 aktualisiert um 11:14:37 Uhr
Goto Top
Falsches Event siehe Links oben, das was du uns hier zeigst ist nur der Lesezugriff auf das Verzeichnis der geloggt wird, sagt ja schon die Access Mask, 0x1 ist Read/List und da kann es keinen dazugehörigen Dateinamen geben, hier ist der ObjectName das Verzeichnis auf welches Lesezugriff angefordert wird!.

Btw. wenn man nur das Dateisystem überwachen möchte und nicht noch andere Object-Events besser die Richtlinie gleich feiner definieren:

screenshot
merkel
merkel 30.07.2019 um 11:16:40 Uhr
Goto Top
Hallo,
danke. Ja habe das hier nun auch gefunden.

https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...

Habe das nun mal bei Erweitert Dateisystem überwachen eingestellt und das andere Objectzugriffe in der Lokalen Policy wieder abgeschaltet.
Nun geht im moment nichts. Habe Auditing auf Failure gestellt. Test es noch.

Gruss
Jonas
140447
140447 30.07.2019 aktualisiert um 11:19:14 Uhr
Goto Top
Ab und zu neu starten hilft, gerade bei deinen "Trial&Error" Sessions hier.
140447
140447 30.07.2019 aktualisiert um 11:25:41 Uhr
Goto Top
Zitat von @merkel:
Nun geht im moment nichts. Habe Auditing auf Failure gestellt. Test es noch.
Dir sollte dann aber hoffentlich klar sein das das nur erfolglose Zugriffe loggt. Also wenn jemandem der Zugriff verweigert wird. Hat jemand das entsprechende Recht zum löschen/lesen/ändern whatever wird dies nicht vermerkt.
merkel
merkel 30.07.2019 aktualisiert um 11:34:46 Uhr
Goto Top
Bei mir sieht es nun so aus

1

Ihre Konfiguration erfordert die Auswahl zwischen Erfolg und Fehler. Im ersten Fall werden nur Ereignisse aufgezeichnet, die der Benutzer aufgrund ausreichender Berechtigungen durchführen konnte, während die zweite Option nur dann greift, wenn die Aktion gescheitert ist.

Habe Success gewählt. Weil er muss Berechtigung "Löschen" haben. ( Ereignisse aufgezeichnet, die der Benutzer aufgrund ausreichender Berechtigungen durchführen konnte,)

Auf dem Folder ist nun so:

1

Gpupdate durchgeführt.
Nun lege ich eine Datei rein, und lösche diese. Dann habe ich nichts dazu.

Nur wieder sowas:
  SubjectUserSid S-1-5-21-3822937950-2270363862-131729381-5128 
  SubjectUserName admin.h
  SubjectDomainName PLACE 
  SubjectLogonId 0x2b3509c0b7 
  ObjectServer Security 
  ObjectType File 
  ObjectName D:\Scanning\Done\test.txt 
  HandleId 0x0 
  TransactionId {00000000-0000-0000-0000-000000000000} 
  AccessList %%1537 %%4423  
  AccessMask 0x10080 
  PrivilegeList - 
  ProcessId 0x4

Laut dem hier , wäre 1537 aber löschen !

https://social.technet.microsoft.com/Forums/windows/en-US/0ec39516-5dcc- ...


Gruss
Jonas
2
140447
140447 30.07.2019 aktualisiert um 11:49:32 Uhr
Goto Top
ObjectName D:\Scanning\Done\test.txt
Was willst du eigentlich? Das was du suchst, der Pfad steht doch da!
AccessMask 0x10080
Die Access-Mask bedeutet:
- Dateiattribute lesen
- Löschen
Also alles da!

Is es heute schon wieder so heiß??

Laut dem hier , wäre 1537 aber löschen !
Nein, die Access Mask ist entscheidend. Anhand der EventID lässt sich schon lang nicht mehr unterscheiden um was für einen Zugriff es sich handelt. Hättest du meinen Link hier oben aus dem Forum zumindest mal durchgelesen wäre dir das klar.
merkel
merkel 30.07.2019 um 12:14:57 Uhr
Goto Top
Hallo,

ja es ist so gut. Ich muss ja nun nur schauen wo 1547 steht. Dann ist von dem User gelöscht etc..

Gruss
Jonas
140447
Lösung 140447 30.07.2019 aktualisiert um 12:31:23 Uhr
Goto Top
Zitat von @merkel:
ja es ist so gut. Ich muss ja nun nur schauen wo 1547 steht. Dann ist von dem User gelöscht etc..
Die Access Mask ist endgültig entscheidend und anhand der kann man per Bit-Operation einfach feststellen was Sache ist, hier schon fix und fertig, -band 0x1000:
Protokollierung gelöschter Dateien auf einem Fileserver
merkel
merkel 30.07.2019 um 15:45:04 Uhr
Goto Top
Danke. Habe nun noch die Custom View erstellt. Die mir das schön filtert.

Gruss
Jonas
gelöstFrageMicrosoftWindows Server
Mehr von merkelmerkelApp um Bildschirm und gleichzeitig Video Bild einblendenmerkel - 5 KommentaremerkelKann man inactive nach 100 Tagen automatisch disablenmerkel - 9 KommentaremerkelWenn man einen SQL Wartungsjob einrichtet. Was für einen user soll man verwendenmerkel - 5 KommentaremerkelKann man jemanden im Teams nur für Reports berechtigenmerkel
Heiß diskutiert
kreuzbergerUbuntu 24 Desktop 64Bit Installation bleibt stehenkreuzberger - 42 KommentareU08154711Firewall Regeln für TravelrouterU08154711 - 34 KommentareBN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 31 Kommentareds6.euDoppelmoral?ds6.eu - 30 KommentarekpunktWelche Applikation will nach 199.59.243.228?kpunkt - 23 Kommentareem-pieVMware: Mindestens 72 Cores für Lizenzierung erforderlichem-pie - 22 KommentareDerWoWussteImport eines p12-Zertifikates auf einen YubikeyDerWoWusste - 20 KommentareanteNopeVeeam Agent on-VM-Backup?anteNope - 16 Kommentaretouro411PFsense Outbound NAT (S-NAT)touro411 - 16 KommentarecoltseaversDebian Linux Fileserver mit ZFS, openZFS oder BTRFS?coltseavers - 16 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LightspeedMysticFoxDE - 15 KommentareitstrueSync Windows Folder zu Webdavitstrue - 15 KommentarekreuzbergerTrueNAS-13.3-U1.1, Plugin Installation schlägt fehlkreuzberger - 15 Kommentare