Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
Protokollierung von Dateiaktivitäten

geschrieben am 18.11.2009 um 11:18 von runnerz

Hi,

wir haben folgendes Problem:
Auf unserem Fileserver tauchen immer mal wieder Dateien in Freigaben auf, die dort nicht zu suchen haben. Wir löschen diese Dateien, doch sie tauchen nach einiger Zeit wieder auf.

Wir möchten nun gerne protokollieren, welcher User diese Dateien wieder dorthin kopiert und/oder von welchem Computer (IP, Hostname) dies passiert.

Das sollte doch mit Wireshark machbar sein oder habt Ihr eine andere Idee?

Das Problem, dass ich bei Wireshark sehe, ist die Menge und Größe an Protokolldateien, die entstehen werden, da das Protokollieren sicherlich 1-2 Wochen durchgehend auf dem Fileserver (!) laufen muss. Oder gibt es da eine Lösung, dass z.B. nur protokolliert wird, wann eine bestimmte Datei (Dateiname angeben) auf den Fileserver kopiert wurde?

Hoffe auf Eure Hilfe.

Viele Grüße, runnerz
 

geschrieben am 18.11.2009 um 12:08 von Otaku19

da gibts 100% was applikationsmässiges, via Wireshark wird das eher öd werden.
Evtl irgendwas aus der Sysinternals suite ? Kenn mich mit Sachen ab L4 aufwärts eher wenig aus :D
 

geschrieben am 18.11.2009 um 15:04 von bewa

Re: Protokollierung von Dateiaktivitäten

"runnerz" wrote:

Wir möchten nun gerne protokollieren, welcher User diese Dateien wieder dorthin kopiert und/oder von welchem Computer (IP, Hostname) dies passiert.

Das sollte doch mit Wireshark machbar sein oder habt Ihr eine andere Idee?


TCPDump/Wireshark ist dafür eher nicht gedacht. Man könnte theoretisch den SMB/CIFS-Datenverkehr nach diesen Dateinamen durchsuchen, um dann nachzuschauen, wer sie dorthin kopiert hat. Das dürfte aber die umständlichste Möglichkeit sein und bei entsprechend viel Datenverkehr wahrscheinlich auch gar nicht praktikabel.

Ist das ein Windows-Server? Dann könntest du es mit den Auditing-Funktionalitäten probieren. Ich habe aus Zeitgründen nur kurz gesucht: Diese Anleitung ist für XP und mir ist nicht bekannt, ob sie auch für Netzwerk-Freigaben funktinioniert - aber so ähnlich sollte sich etwas basteln lassen.

http://support.microsoft.com/kb/310399
 

geschrieben am 18.11.2009 um 15:31 von runnerz

Die Fileüberwachung unter Windows Server 2003 habe ich schon mal ausprobiert und eingeschaltet, doch da sieht man nur mit welchem User, die Datei kopiert wurde. Mich würde aber eher interessieren von welcher IP Adresse bzw. Hostname die Datei dorthin kopiert wurde. Das liefert die integrierte Überwachung leider nicht.

Es müsste also ein Tool geben, was die Daten Username, IP und/oder Hostname mitprotokolliert.

Any ideas?
 

geschrieben am 19.11.2009 um 22:02 von Mirko

Benutzen mehrere User die selbe User-ID?

Man könnte es mit Wireshark und einem Filter auf den entsprechenden SMB-Request versuchen. Das wird aber vermutlich nicht als Capture-Filter funktionieren. Dazu würde ich aber eine Maschine neben den Fileserver stellen und den Traffic spiegel.

Mirko
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019