37958
22.02.2017
4826
13
0
Windows Server 2008 R2, Ordner und Unterordner überwachen auf Löschen von Dateien oder Ordner
Hi,
gibt es eine Möglichkeit, einen Ordner zu überwachen, wer wann was gelöscht hat?
Es verschwinden immer mal wieder SolidEdge Baugruppen und keiner wars.
Ich hab da über Eigenschaften, Sicherheit, Erweitert, Überwachung, Bearbeitung was gefunden.
Dort dann hinzufügen, JEDER (Ich hoffe Admin, Systemdienste, Kaspersky und die Benutzer und Gruppen sind mit JEDER gemeint).
Dann hab ich mal Dateien erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Unterornder und Dateien löschen
Löschen
Angehakt sind da sowohl ERFOLG als auch FEHLER.
Übernehmen für Diesen Ordner, Unterordner und Dateien.
Nicht angehakt ist Überwachungseinträge nur für Objekte und/oder Container deses Containers übernehmen.
So. Dann hab ich als Admin auf dem Server mal in dem zu überwachenden Ordner ein Verzeichnis erstellt. Eine Datei erstellt.
Dann die Datei gelöscht. Ich finde aber nix in der Ereignisanzeige.
Wo müßte ich denn da was finden?
Grüße
Heinz
gibt es eine Möglichkeit, einen Ordner zu überwachen, wer wann was gelöscht hat?
Es verschwinden immer mal wieder SolidEdge Baugruppen und keiner wars.
Ich hab da über Eigenschaften, Sicherheit, Erweitert, Überwachung, Bearbeitung was gefunden.
Dort dann hinzufügen, JEDER (Ich hoffe Admin, Systemdienste, Kaspersky und die Benutzer und Gruppen sind mit JEDER gemeint).
Dann hab ich mal Dateien erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Unterornder und Dateien löschen
Löschen
Angehakt sind da sowohl ERFOLG als auch FEHLER.
Übernehmen für Diesen Ordner, Unterordner und Dateien.
Nicht angehakt ist Überwachungseinträge nur für Objekte und/oder Container deses Containers übernehmen.
So. Dann hab ich als Admin auf dem Server mal in dem zu überwachenden Ordner ein Verzeichnis erstellt. Eine Datei erstellt.
Dann die Datei gelöscht. Ich finde aber nix in der Ereignisanzeige.
Wo müßte ich denn da was finden?
Grüße
Heinz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 330171
Url: https://administrator.de/forum/windows-server-2008-r2-ordner-und-unterordner-ueberwachen-auf-loeschen-von-dateien-oder-ordner-330171.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
13 Kommentare
Neuester Kommentar
What???? Du machst es dir aber schön einfach...
Und mit den Bildchen kriegt das dann noch jeder Hinz hin.
Du hast vergessen die Protokollierung in der lokalen Sicherheitsrichtlinie (secpol.msc) für die Dateisystemüberwachung zu aktivieren.
Und mit den Bildchen kriegt das dann noch jeder Hinz hin.
Du hast vergessen die Protokollierung in der lokalen Sicherheitsrichtlinie (secpol.msc) für die Dateisystemüberwachung zu aktivieren.
Nein, Objektzugriffsversuche.
Es gibt dort auch noch eine Richtlinie mit der man genauer definieren kann was im Dateisystem geloggt wird.
ganz unten ...
Hier steht's doch min Jung
https://technet.microsoft.com/en-us/library/dn319056(v=ws.11).aspx
Es gibt dort auch noch eine Richtlinie mit der man genauer definieren kann was im Dateisystem geloggt wird.
ganz unten ...
Hier steht's doch min Jung
https://technet.microsoft.com/en-us/library/dn319056(v=ws.11).aspx
Zitat von @37958:
Ja, jetzt wird in der Ereignisanzeige unter Sicherheit alles Protokoliert.
Leider wirklich alles, nicht nur der Ordner, den ich überwachen wollte und dann auch noch ohne Unterscheidung.
Schön wäre gewesen, wenn man nur das sieht, wenn etwas gelöscht wird.
Kann man das noch eingrenzen?
Hast du den Beitrag oben im Link wirklich komplett gelesen?? Ich glaube nicht! Dort steht es mit Bildchen Schritt für Schritt wie das gemacht wird!Ja, jetzt wird in der Ereignisanzeige unter Sicherheit alles Protokoliert.
Leider wirklich alles, nicht nur der Ordner, den ich überwachen wollte und dann auch noch ohne Unterscheidung.
Schön wäre gewesen, wenn man nur das sieht, wenn etwas gelöscht wird.
Kann man das noch eingrenzen?
Einfach eine Ansicht im Protokoll Sicherheit erstellen und den XML-Filter angeben, schon stehen dort z.B. nur noch Löschungen.
Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:
Grüße Benni
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12811"] and EventData[Data[@Name="AccessMask"]="0x10080"]]</Select>
</Query>
</QueryList>
Grüße Benni
Zitat von @bennnib:
Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:
Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:
<QueryList>
> <Query Id="0" Path="Security">
> <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12811"] and EventData[Data[@Name="AccessMask"]="0x10080"]]</Select>
> </Query>
> </QueryList>
Hi,
"AccessMask"]="0x10080"
das trifft in dann aber nur zu wenn folgende beiden Zugriffe zusammenfallen:- Dateiattribute lesen
- Löschen
Gruß schnappi
Besser immer nachprüfen . Hier ein kleines PS-Skript für die AccessMask
function Get-RightsFromAccessMask {
param(
[parameter(mandatory=$true)][int32]$mask
)
$htmask = [ordered] @{
1 = 'Lesen / Auflisten'
2 = 'Schreiben / Dateien erstellen'
4 = 'Anhängen / Unterordner erstellen'
8 = 'Erweiterte Attribute lesen'
16 = 'Erweiterte Attribute schreiben.'
32 = 'Dateien ausführen / Verzeichnisse auflisten'
64 = 'Ordner löschen'
128 = 'Dateiattribute lesen'
256 = 'Dateiattribute ändern'
65536 = 'Löschen'
131072 = 'Lesezugriff auf Security ACL und Besitzer'
262144 = 'Schreibzugriff DACL'
524288 = 'Besitzer ändern'
1048576 = 'Synchronisation'
}
$htmask.Keys.GetEnumerator() | ?{$mask -band $_} | %{write-host "-"$htmask.$_ -F Green}
}
Get-RightsFromAccessMask -mask 0x10080