Das Einrichten einer Server Dateiüberwachung Überwachungsrichtlinie auf einem Server ist einfach. Man muss nur wissen wo man an welcher Stellschraube die Objektzugriffsversuche konfiguriert. Schaut Euch dazu auch das Video weiter unten an
Eine Dateiüberwachung hilft einem Administrator zu sehen, welcher Benutzer auf einem bestimmten Laufwerk oder Ordner Dateien gelöscht oder verschoben hat. Das ist vor allem dann wichtig, wenn ohne eine Dateiüberwachung Überwachungsrichtlinie und bei vielen Benutzern im Unternehmen nicht klar ist warum Dateien plötzlich verschwunden (versehentlich verschoben) oder gar (böswillig) gelöscht wurden.
Ein Eventlog wird irgendwann voll laufen. Damit Ihr trotzdem alle Lösch-Logs aus der Vergangenheit zur Verfügung habt, habe ich einen Beitrag, indem man lernt wie man das Eventlog automatisiert dazu bringt sich die Events abzuspeichern. Das Eventlog archivieren und wie man das einrichtet findet Ihr hier.
Das Einrichten einer Server Dateiüberwachung Überwachungsrichtlinie ist einfach. Ihr müsst nur diverse EInstellungen vornehmen. Hier sieht man, was in den lokalen Sicherheitseinstellungen getan werden muss
Dateiüberwachung Überwachungsrichtlinie in der Lokalen Sicherheitsrichtlinie auf dem Server einschalten
Damit überhaupt eine Aufzeichnung der Objektzugriffsversuche auf dem Server stattfindet mussin der lokalen Sicherheitsrichtlinie diese Überwachungsrichtlinie eingeschaltet werden.
- Öffnen des lokalen Sicherheitsrichtlineneditors auf dem Server auf dem die Überwachung stattfinden soll über Start > Ausführen (Tastenkombination Win + R) > secpol.msc oder alternativ gebt im Startmenü einfach “Lokale Sicherheitsrichtlinie” ein, dann findet Ihr den Punkt auch
- Navigiert im Editor nun wie folgt: Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie und doppelklickt nun rechts den Eintrag Objektzugriffsversuche überwachen
- Markiert die beiden Checkboxen Erfolgreich und Fehlgeschlagen
- Der Editor kann geschlossen werden, wir brauchen ihn nun nicht mehr
Die Dateiüberwachung auf den zu überwachenden Ordner oder das Laufwerk aktivieren
- In den Sicherheitseinstellungen des Ordner oder Laufwerks unter Erweitert werden diese Einstellungen vorgenommen. Geht dazu folgenden Weg (wie unten auf dem Bild zu sehen): Rechtsklick auf den Ordner / das Laufwerk (das überwacht werden soll) > Eigenschaften > Sicherheit > Erweitert > Überwachung > Bearbeiten > Hinzufügen > Benutzer auswählen (am besten Jeder, damit auch jeder überwacht werden kann oder eben nur bestimmte Personen auswählen)
- Beim Auswählen des Benutzers öffnet sich nun noch ein Fenster in dem man Checkboxen anklicken kann, für Aktionen die überwacht werden sollen. Wählt hier mindestens – wie im dritten Screenshot unten zu sehen – zwei Attribute aus: Unterordner und Dateien löschen und Löschen und mit OK bestätigen
- Nun noch ein Häkchen bei “Bestehende vererbbare Überwachungseinträge aller untergeordneten Objekte durch vererbbare Überwachungseinträge dieses Objektes ersetzen” setzen. Das dient dazu, dass alle Unterordner auch mit überwacht werden
- Nun kann alles mit OK bestätigt und geschlossen werden und ab sofort werden alle Objekte die gelöscht oder verschoben werden aufgezeichnet
Objektzugriffsversuche über Dateiüberwachung Überwachungsrichtlinie auf dem Server überwachen. Hier sehen wir wie man die aktivierte lokale Sicherheitsrichtlinie auf einen Ordner oder ein Laufwerk anwendet
Dateiüberwachung Überwachungsrichtlinie: Beim Auswählen der zu überwachenden Benutzer / des Benutzers, muss man anchecken, welche Aktion überwacht werden soll
Logdatei bzw. Informationen der gelöschten Objekte aus der Dateiüberwachung Überwachungsrichtlinie ausfindig machen und ansehen
Nun gilt es die Informationen auszuwerten. Das ist ebenso einfach wie der Rest. Es muss dazu der Eventviewer herangezogen werden. Öffnet ihn über Start > Ausführen (Tastenkombination Win + R) > eventvwr oder alternativ gebt Ihr Ereignisanzeige in das Suchfeld des Startmenüs ein. Ihr müsst in der Ereignisanzeige auf Windows Protokolle > Sicherheit nach der Event ID 4663 und Event ID 4660 filtern (Ereignis ID 4660 und Ereignis ID 4663). Hier werden Euch die Lösch Events nun aufgelistet mit Uhrzeit, Datum und User sowie gelöschtes Objekt inklusive Ordnerpfad. Am besten ist, dass Ihr Euch einen benutzerdefinierten Filter erstellt. Ich gebe Euch hier mal die Filterkriterien meines Filters, damit es einfacher für Euch ist:
Benutzerdefinierte Ansicht in der Ereignisanzeige für die Filterung der Objektzugriffsversuche in der Dateiüberwachung Überwachungsrichtlinie nach Ereignis ID 4660 und 4663
So kann es dann bei Euch auch aussehen:
Benutzerdefinierte Ansicht in der Ereignisanzeige / Eventviewer um sich Event ID 4660 und 4663 zu filtern. Damit sieht man, welcher Benutzer was wann wo gelöscht hat
Hallo, hbe die Anleitung wie oben gemacht.
Leider bleibet mir bei der Serverolle Überwachung bein den Ereignissen das Feld leer.
Danke im vorraus
Tufan
Moin,
dann musst du was vergessen haben einzustellen. Es sind auch tatsächlich viele Schritte zu beachten. Gehe doch noch einmal die Schritte durch oder schau dir das Video an.
Viele Grüße
Hallo,
zunächst vielen Dank für die Anleitung, die Überwachung an sich klappt damit wunderbar.
Leider tut sich letztendlich ein anderes Problemchen auf: Da wirklich ALLES, was irgendetwas mit Löschen zu tun hat (Umbenennen, Verschieben, etc.) – sogar das automatische Entfernen der .tmp Dateien – ist das Log extremst schnell vollgelaufen.
Entsprechend Deiner anderen Anleitung habe ich die automatische Archivierung angeschaltet, im schlimmsten Fall legt Windows mir nun pro Tag bis zu 10 Stück 100 MB große Logfiles im Archiv ab. Somit wird auf der einen Seite ziemlich viel Speicherplatz verbraucht, auf der anderen Seite macht das eine rückwirkende Recherche so gut wie unmöglich. Es sei denn, man klickt sich einzeln durch hunderte von Logdateien.
Gibt es einen Weg, die Protokollierung weiter einzuschränken? Das ignorieren der .tmp Dateien wäre z.B. schon eine große Hilfe.
Danke und Gruß
Ups, nach ” sogar das automatische Entfernen der .tmp Dateien – ” fehlt “mitprotokolliert wird,” :-)
Hi,
im Moment weiß ich nichts von einer Funktion, die das Mitloggen auf bestimmte Events eingrenzt.
Vielleicht ja jemand anderes?
Grüße
Wenn es sich über die Filter nicht regeln lässt, könnte man ein Script erstellen. Dieses befüllt deine neue endgültige Logdatei imdem du aus der ersten pipst und dabei die ungewünschten tmp Einträge etc. ausklammern.
Idee?
Gruß,
Chris