Kategorie Netzwerktechnik - Forum Tools
Protokollierung von Dateiaktivitäten
geschrieben am 18.11.2009 um 11:18 von runnerz
Hi,
wir haben folgendes Problem:
Auf unserem Fileserver tauchen immer mal wieder Dateien in Freigaben auf, die dort nicht zu suchen haben. Wir löschen diese Dateien, doch sie tauchen nach einiger Zeit wieder auf.
Wir möchten nun gerne protokollieren, welcher User diese Dateien wieder dorthin kopiert und/oder von welchem Computer (IP, Hostname) dies passiert.
Das sollte doch mit Wireshark machbar sein oder habt Ihr eine andere Idee?
Das Problem, dass ich bei Wireshark sehe, ist die Menge und Größe an Protokolldateien, die entstehen werden, da das Protokollieren sicherlich 1-2 Wochen durchgehend auf dem Fileserver (!) laufen muss. Oder gibt es da eine Lösung, dass z.B. nur protokolliert wird, wann eine bestimmte Datei (Dateiname angeben) auf den Fileserver kopiert wurde?
Hoffe auf Eure Hilfe.
Viele Grüße, runnerz
geschrieben am 18.11.2009 um 12:08 von Otaku19
da gibts 100% was applikationsmässiges, via Wireshark wird das eher öd werden.
Evtl irgendwas aus der Sysinternals suite ? Kenn mich mit Sachen ab L4 aufwärts eher wenig aus :D
geschrieben am 18.11.2009 um 15:04 von bewa
Re: Protokollierung von Dateiaktivitäten
Wir möchten nun gerne protokollieren, welcher User diese Dateien wieder dorthin kopiert und/oder von welchem Computer (IP, Hostname) dies passiert.
Das sollte doch mit Wireshark machbar sein oder habt Ihr eine andere Idee?
TCPDump/Wireshark ist dafür eher nicht gedacht. Man könnte theoretisch den SMB/CIFS-Datenverkehr nach diesen Dateinamen durchsuchen, um dann nachzuschauen, wer sie dorthin kopiert hat. Das dürfte aber die umständlichste Möglichkeit sein und bei entsprechend viel Datenverkehr wahrscheinlich auch gar nicht praktikabel.
Ist das ein Windows-Server? Dann könntest du es mit den Auditing-Funktionalitäten probieren. Ich habe aus Zeitgründen nur kurz gesucht: Diese Anleitung ist für XP und mir ist nicht bekannt, ob sie auch für Netzwerk-Freigaben funktinioniert - aber so ähnlich sollte sich etwas basteln lassen.
http://support.microsoft.com/kb/310399
geschrieben am 18.11.2009 um 15:31 von runnerz
Die Fileüberwachung unter Windows Server 2003 habe ich schon mal ausprobiert und eingeschaltet, doch da sieht man nur mit welchem User, die Datei kopiert wurde. Mich würde aber eher interessieren von welcher IP Adresse bzw. Hostname die Datei dorthin kopiert wurde. Das liefert die integrierte Überwachung leider nicht.
Es müsste also ein Tool geben, was die Daten Username, IP und/oder Hostname mitprotokolliert.
Any ideas?
geschrieben am 19.11.2009 um 22:02 von Mirko
Benutzen mehrere User die selbe User-ID?
Man könnte es mit Wireshark und einem Filter auf den entsprechenden SMB-Request versuchen. Das wird aber vermutlich nicht als Capture-Filter funktionieren. Dazu würde ich aber eine Maschine neben den Fileserver stellen und den Traffic spiegel.
Mirko
[ Dieses Thema im Live-Forum aufrufen ]
|