Windows Server 2008 R2, Ordner und Unterordner überwachen auf Löschen von Dateien oder Ordner

Hi,
gibt es eine Möglichkeit, einen Ordner zu überwachen, wer wann was gelöscht hat?

Es verschwinden immer mal wieder SolidEdge Baugruppen und keiner wars.

Ich hab da über Eigenschaften, Sicherheit, Erweitert, Überwachung, Bearbeitung was gefunden.
Dort dann hinzufügen, JEDER (Ich hoffe Admin, Systemdienste, Kaspersky und die Benutzer und Gruppen sind mit JEDER gemeint).

Dann hab ich mal Dateien erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Unterornder und Dateien löschen
Löschen

Angehakt sind da sowohl ERFOLG als auch FEHLER.
Übernehmen für Diesen Ordner, Unterordner und Dateien.

Nicht angehakt ist Überwachungseinträge nur für Objekte und/oder Container deses Containers übernehmen.

So. Dann hab ich als Admin auf dem Server mal in dem zu überwachenden Ordner ein Verzeichnis erstellt. Eine Datei erstellt.
Dann die Datei gelöscht. Ich finde aber nix in der Ereignisanzeige.
Wo müßte ich denn da was finden?

Grüße

Heinz

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 330171

Url: https://administrator.de/contentid/330171

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

13 Kommentare

Neuester Kommentar

Nachmachen, läuft ...
Protokollierung gelöschter Dateien auf einem Fileserver

Gruß

Hi,
Sorry ich seh da nur Bahnhof.

What???? Du machst es dir aber schön einfach...
Und mit den Bildchen kriegt das dann noch jeder Hinz hin.

Du hast vergessen die Protokollierung in der lokalen Sicherheitsrichtlinie (secpol.msc) für die Dateisystemüberwachung zu aktivieren.

Die Überwachung des Ordners, wie oben beschrieben ist aber schon richtig?

secpol.msc: lokale Richtlinien, Überwachungsrichtlinie, ...

Da gibt es:
Anmeldeereignisse
Anmeldeversuche
Kontenverwaltung
Objektzugriffsversuche
Prozessnachverfolgung
Rechteverwendung
Richtlinienänderung
Systemereignisse
Verzeichnisdienstzugriff

Ich tippe auf Systemereignis?

Nein, Objektzugriffsversuche.
Es gibt dort auch noch eine Richtlinie mit der man genauer definieren kann was im Dateisystem geloggt wird.
ganz unten ...

Hier steht's doch min Jung
https://technet.microsoft.com/en-us/library/dn319056(v=ws.11).aspx

Ja, jetzt wird in der Ereignisanzeige unter Sicherheit alles Protokoliert.
Leider wirklich alles, nicht nur der Ordner, den ich überwachen wollte und dann auch noch ohne Unterscheidung.
Schön wäre gewesen, wenn man nur das sieht, wenn etwas gelöscht wird.

Kann man das noch eingrenzen?

Hi,
wenn ich die Lokale Sicherheitsrichtline auf meinem Server geöffnet habe, weiß ich nach dem Durchlesen des Artikels noch nicht, was ich dort dann machen sollte, um das gewünschte Ergebnis zu bekommen.

Trotzdem danke für deine Hilfe.

Bei dem ganzen gelogge - kann ich das mir irgendwie schön gefiltert anschauen oder nach "Inhalt" durchsuchen?

Zitat von @37958:

Ja, jetzt wird in der Ereignisanzeige unter Sicherheit alles Protokoliert.
Leider wirklich alles, nicht nur der Ordner, den ich überwachen wollte und dann auch noch ohne Unterscheidung.
Schön wäre gewesen, wenn man nur das sieht, wenn etwas gelöscht wird.

Kann man das noch eingrenzen?

Hast du den Beitrag oben im Link wirklich komplett gelesen?? Ich glaube nicht!

Dort steht es mit Bildchen Schritt für Schritt wie das gemacht wird!
Einfach eine Ansicht im Protokoll Sicherheit erstellen und den XML-Filter angeben, schon stehen dort z.B. nur noch Löschungen.

Also,
Ereignisanzeige, Benutzerdefinierte Ansicht, manuell Bearbeiten, auf XML gehen,
dann den Inhalt reinkopieren:

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12800"] and EventData[Data[@Name="AccessMask"]="0x10000"]]</Select>  
  </Query>
</QueryList>

Und die Übersicht kommt mit nur den gelöschten Dateien. Das ist schon mal wirklich super.

Wenn die Protokolierung nun nur noch die gelöschten protokolieren würde, wäre das eine Perfekte Lösung.

Aber schon mal vielen Dank für die Hilfe, war wirklich Zielführend.

Grüße

Heinz

Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12811"] and EventData[Data[@Name="AccessMask"]="0x10080"]]</Select>  
  </Query>
</QueryList>

Grüße Benni

Zitat von @bennnib:

Unter Windows Server 2012 R2 im Eventlog diesen Filter einstellen, falls es jemand sucht:

<QueryList>
>   <Query Id="0" Path="Security">  
>     <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12811"] and EventData[Data[@Name="AccessMask"]="0x10080"]]</Select>  
>   </Query>
> </QueryList>

Hi,

"AccessMask"]="0x10080"

das trifft in dann aber nur zu wenn folgende beiden Zugriffe zusammenfallen:
- Dateiattribute lesen
- Löschen

Gruß schnappi

Hi schnappi,

ok, bei mir stehen keine anderen Objektzugriffüberwachungslogs drin, daher bin ich davon ausgegangen, dass das so passt.

Gruß Benni

Besser immer nachprüfen

. Hier ein kleines PS-Skript für die AccessMask

function Get-RightsFromAccessMask {
param(
    [parameter(mandatory=$true)][int32]$mask
)

$htmask = [ordered] @{
    1 = 'Lesen / Auflisten'  
    2 = 'Schreiben / Dateien erstellen'  
    4 = 'Anhängen / Unterordner erstellen'  
    8 = 'Erweiterte Attribute lesen'  
    16 = 'Erweiterte Attribute schreiben.'  
    32 = 'Dateien ausführen / Verzeichnisse auflisten'  
    64 = 'Ordner löschen'  
    128 = 'Dateiattribute lesen'  
    256 = 'Dateiattribute ändern'  
    65536 = 'Löschen'  
    131072 = 'Lesezugriff auf Security ACL und Besitzer'  
    262144 = 'Schreibzugriff DACL'  
    524288 = 'Besitzer ändern'  
    1048576 = 'Synchronisation'  
}
    $htmask.Keys.GetEnumerator() | ?{$mask -band $_} | %{write-host "-"$htmask.$_ -F Green}  
}