7
Windows File Server: Datei-Verzeichnis Überwachung und Protokollierung
Moin Moin,
auf einem Windows Fileserver mit vielen tausend Dateien und Verzeichnissen kommt es hin und wieder einmal vor, dass Dinge verschwinden und keiner es gewesen ist.
Es kommt sicherlich gerne einmal vor, dass Verzeichnisse versehentlich verschoben oder gelöscht werden. Wir würden aber gerne die betroffenen Nutzer schulen und protokollieren, wer was wann macht. Die hauseigene Protokollierung von Microsoft habe ich getestet, leider schreibt diese Tausend Einträge, für jeden Zugriff eines Benutzers etwa 30 und ist kaum brauchbar.
Es gibt diverse Software auf dem Markt, die eine Überwachung von Dateien und Verzeichnissen beherrschen soll - habt ihr ggf. Erfahrung damit?
Ich freue mich auf eure Meinung.
Vg
auf einem Windows Fileserver mit vielen tausend Dateien und Verzeichnissen kommt es hin und wieder einmal vor, dass Dinge verschwinden und keiner es gewesen ist.
Es kommt sicherlich gerne einmal vor, dass Verzeichnisse versehentlich verschoben oder gelöscht werden. Wir würden aber gerne die betroffenen Nutzer schulen und protokollieren, wer was wann macht. Die hauseigene Protokollierung von Microsoft habe ich getestet, leider schreibt diese Tausend Einträge, für jeden Zugriff eines Benutzers etwa 30 und ist kaum brauchbar.
Es gibt diverse Software auf dem Markt, die eine Überwachung von Dateien und Verzeichnissen beherrschen soll - habt ihr ggf. Erfahrung damit?
Ich freue mich auf eure Meinung.
Vg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 298724
Url: https://administrator.de/contentid/298724
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
7 Kommentare
Neuester Kommentar
Moin.
Protokollierung gelöschter Dateien auf einem Fileserver
Gruß jodel32
Die hauseigene Protokollierung von Microsoft habe ich getestet, leider schreibt diese Tausend Einträge, für jeden Zugriff eines Benutzers etwa 30 und ist kaum brauchbar.
So ein Unsinn, das kann nur jemand sagen der sich damit noch nicht beschäftigt hat, braucht man doch nur den richtigen Filter dafür !Protokollierung gelöschter Dateien auf einem Fileserver
Gruß jodel32
Nice - aber das muss doch besser gehen.
Ich werde aber einmal einen Syslog Server aufsetzen und das ganze entsprechend dem Beitrag filtern, ein guter Hinweis.
Trotzdem hatte der Autor recht, die Anzahl an Logeinträge ist erstmal explosionsartig groß und muss dann gefiltert werden.
Wenn wir also 30 Tage protokollieren wollen bei 100 gleichzeitigen Benutzern einer großen Dateiablage, dann ist die Anzahl an Logs pro Sekunde extrem groß.
Ich werde aber einmal einen Syslog Server aufsetzen und das ganze entsprechend dem Beitrag filtern, ein guter Hinweis.
Trotzdem hatte der Autor recht, die Anzahl an Logeinträge ist erstmal explosionsartig groß und muss dann gefiltert werden.
Wenn wir also 30 Tage protokollieren wollen bei 100 gleichzeitigen Benutzern einer großen Dateiablage, dann ist die Anzahl an Logs pro Sekunde extrem groß.
Du musst nur den richtigen Überwachungsfilter auf dem Share setzen und in der local Security-Policy die erweiterten Überwachungsrichtlinien genau festlegen, dann werden es eine überschaubare Anzahl an Einträgen.
Okay, für die einfachen unter uns:
1. Überwachung aktivieren:
-> Computerkonfiguration -> Windows Einstellungen - Sicherheitseinstellungen - > Lokale Richtlinien - > Überwachungsrichtlinie - > Objektzugriffe Überwachen "Erfolg / Fehler"
2. Überwachung auf Verzeichnis setzen:
Dann den Share nehmen und Sicherheit - Erweitert - Überwachung die gewünschten Einträge nehmen.
Ich erhalte aber schon jetzt eine Menge Infos, die keinerlei Relevanz haben. Übersehe ich etwas?
1. Überwachung aktivieren:
-> Computerkonfiguration -> Windows Einstellungen - Sicherheitseinstellungen - > Lokale Richtlinien - > Überwachungsrichtlinie - > Objektzugriffe Überwachen "Erfolg / Fehler"
2. Überwachung auf Verzeichnis setzen:
Dann den Share nehmen und Sicherheit - Erweitert - Überwachung die gewünschten Einträge nehmen.
Ich erhalte aber schon jetzt eine Menge Infos, die keinerlei Relevanz haben. Übersehe ich etwas?
Ich schrieb doch Erweiterte Überwachungsrichtlinienkonfiguration 
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Sytemüberwachungsrichtlinien > Objektzugriff > "Dateisystem überwachen :Erfolgreich"
Sicher sind immer noch einige Einträge mit dabei, das lässt sich nicht vermeiden, aber dafür ist ja der Filter da welcher es übersichtlich macht!
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Sytemüberwachungsrichtlinien > Objektzugriff > "Dateisystem überwachen :Erfolgreich"
Sicher sind immer noch einige Einträge mit dabei, das lässt sich nicht vermeiden, aber dafür ist ja der Filter da welcher es übersichtlich macht!
Genau richtig, danke für den Hinweis. Nach einigen Fallstricken konnte ich jetzt ganz gut die Überwachung setzen.
Ich werde dazu mal eine Anleitung (auch für mich) schreiben.
Jetzt fehlt noch das letzte: Hast du eine Idee, wie ich die XML Dateien so durchsuchen kann, dass ich nach einer bestimmten Datei oder einem bestimmten Benutzer suchen kann? Müsste einfach gehen, wenn man XML beherrscht ..
Ich werde dazu mal eine Anleitung (auch für mich) schreiben.
Jetzt fehlt noch das letzte: Hast du eine Idee, wie ich die XML Dateien so durchsuchen kann, dass ich nach einer bestimmten Datei oder einem bestimmten Benutzer suchen kann? Müsste einfach gehen, wenn man XML beherrscht ..
Hatten wir hier auch schon...
Automatische Eventlogauswertung mit Filterung
Automatische Eventlogauswertung mit Filterung
