Toon posts:

[win 2003] logging mappen gebruik

Pagina: 1
Acties:

Verwijderd

Topicstarter
Pffffff... Je hebt soms van die dagen. Ik ben al een eeuwigheid (bijna 1,5 uur) aan het zoeken naar een oplossing voor een vrij bijzonder probleem. Op ons bedrijf hebben we een heilige share, waar al ons werk staat, en waar dus bijna iedereen gebruik van maakt. Maar sinds een paar dagen verdwijnen er mappen. Het begin met mappen die begonnen met een A, daarna een B, en de rest spreekt voor zich lijkt me. Gelukkig is er van alles meer dan 1 backup, dus het is niet het einde van de wereld, maar ik ben nu wel heel nieuwsgierig wie of wat er zo aan het plagen is.

Nu ben ik dus al een tijdje op zoek naar een tooltje waarmee ik dit makkelijk kan onderzoeken. Ik heb er al één gevonden (MS Log Parser), maar dit is ook niet echt een tool waar je binnen een paar minuten achter bent hoe het werkt. Zouden jullie me misschien kunnen helpen met een andere tool, of een goede query voor logparser?

  • Sluuut
  • Registratie: Februari 2003
  • Laatst online: 16-02 09:12
Zit gewoon in Windows 2003 gebakken, het heet Auditing

Dit kun je aanzetten op NTFS niveau, bij de eigenschappen van de desbetreffende folder onder het tabblad Security, vervolgens advanced en dan tabblad auditing. Daar add je dan de group met mensen die access hebben tot die map (of je add gewoon de groep everyone). Vervolgens krijg je de vraag op wat voor soort acties je wilt auditen. In jouw geval wil je dit op Delete & Delete Subfolders and Files doen. Dus deze vink je aan en dan klik je op OK...

Vervolgens zou er in de event vieuwer onder het kopje security audit logs te zien moeten zijn, als iemand iets uit die folder gedelete heeft...

57696520646974206c65657374206973206e657264


Verwijderd

vervolgens kan je dan een parser gebruiken om de logs wat makkelijker te analyseren. Maar dat is inderdaad een redelijk uitzoek werk. En uiteindelijk wil je 1 speciaal event vinden, wat je net zo makkelijk kan doen door te filteren met de eventlog zelf (delete zelf een mapje en kijk welk event dit oplevert, vervolgens filter je daarop).

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

...en daar is logparser weer handig voor, kan je met een query-achtig script dat soort items uitvragen.
WMI scripting kan ook.

Hou wel in je achterhoofd dat file-level auditing je logs flink doet groeien, zeker op fileservers.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device