watchDirectory Hilfe

Hilfe Startseite
Neue Aufgabe erstellen
Aufgabe starten
Ereignisansicht

Plugins

Standard gegenüber Pro
Versionsübersicht

Suche

siehe auch...




Jetzt kostenlos testen!
Standard-Version: 79€
Professional-Version: 149€
Jetzt kaufen!

 

English Helpfile

English Helpfile

French Helpfile

French Helpfile
Spanish Helpfile

Spanish Helpfile


Datenschutzerklärung
Impressum

Windows Verzeichnisse überwachen - Wer hat was getan?


Dieses Plugin von watchDirectory benutzt das Windows Ereignisprotokoll "Sicherheit" und herauszufinden, wer eine bestimmte Datei modifiziert hat.
Sie müssen Windows richtig konfigurieren, damit die überwachungsinformationen in das Windows Ereignisprotokoll "Sicherheit" geschrieben werden, sonst kann watchDirectory diese Information nicht finden und auswerten.

Einstellungen für dieses Plugin

Betriebssystem des überwachten Computers
Wählen Sie das Betriebssystem des Computers aus, der überwacht werden soll. Dieses Plugin liest bzw. interpretiert das Ereignisprotokoll "Sicherheit" und diese Einträge sind je nach Betriebssystem verschieden. Das Plugin verwendet sog. "mapping files", um die Einträge der unterschiedlichen Betriebssysteme aus dem Ereignisprotokoll zu lesen. Wenn Ihr Betriebssystem nicht in der Auswahl zur Verfügung steht, probieren Sie ein anderes aus der Auswahl aus. Wenn keines fehlerfrei funktioniert, lesen Sie hier nach, wie Sie ein neues "mapping file" anfordern können.

lokaler Verzeichnisname, um im Ereignisprotokoll "Sicherheit" nach Einträgen zu suchen
Je nach verwendetem Betriebssystem und verwendeter Hardware wird der Name des überwachten Verzeichnisses von Windows unterschiedlich in das Ereignisprotokoll "Sicherheit" geschrieben. watchDirectory liest dieses Ereignisprotokoll aus und verwendet die darin gefundenen Informationen für die Überwachungsberichte. Damit watchDirectory die richtigen Einträge auslesen kann, benötigt es die Angabe "lokaler Verzeichnisname". Verwenden Sie den Button "Assistent", um den richtigen "lokalen Verzeichnisnamen" zu ermitteln. Insbesondere bei Raid-Systemen kann der lokale Verzeichnisname vom der gewohnten Schreibweise abweichen. Beachten Sie die Informationen im Abschnitt "Ergebnis" des Assistenten.

Überwachungsergebnisse in diese Verzeichnis schreiben
Geben Sie den Verzeichnisnamen eines bestehende Verzeichnisses an, in das watchDirectory die überwachungsberichte schreiben soll.
Die Berichte, die watchDirectory schreibt, werden etwa so benannt: "event_567_dateiname.txt". 567 ist eine Ordnungszahl, die von watchDirectory in Anlehnung an der Ereignis-ID im Ereignisprotokoll erstellt wird. "Dateiname" ist der Name der Datei, für die das Ereignis aufgetreten ist.

eine .csv-Datei mit diesem Namen erstellen
Zusätzlich können Sie watchDirectory eine .csv-Datei (comma separated value) mit den Überwachungsergebnissen erstellen lassen. Klicken Sie auf die Schaltfläche "konfigurieren", um den Inhalt der .csv-Datei zu definieren.

Diese Berichte per E-Mail senden
Zusätzlich können Sie die überwachungsberichte per E-Mail versenden.

E-Mailadresse
Geben Sie die E-Mailadresse ein, an die die Berichte geschickt werden sollen. Sie können die Adressen in diesem Format eingeben:

E-Mail Betreff
Geben Sie den Betreff der E-Mail ein. Wenn Sie unter "Berichte senden" "sofort" ausgewählt haben, wird der Name der Datei als Betreff eingetragen.

Berichte senden
Wählen Sie aus, wann bzw. wie oft die Berichte verschickt werden sollen.

Bitte beachten Sie, dass dieses Plugin das Programm "wdPostMan" zum Senden im Hintergrund verwendet. Sie müssen zunächst das wdPostMan Programm konfigurieren.


Beispiel eines überwachungsberichts

File/Directory C:\WUTemp\Disasm.log 
   from 7/24/2005 10:41:31 AM to 7/24/2005 10:41:31 AM
[2036] 7/24/2005 10:41:31 AM, Open File by GDPLAP\\Jeremy. Program C:\WINDOWS\explorer.exe. 
   Permissions requested Delete, Read Attributes
   [2036] 7/24/2005 10:41:31 AM, Used a granted permission. Permission used Delete
   [2036] 7/24/2005 10:41:31 AM, Delete 
[2036] 7/24/2005 10:41:31 AM, Close 

Die ersten beiden Zeilen nennen die Datei (C:\WUTemp\Disasm.log) sowie die Zeitspanne des Zugriffs.
Die folgenden Zeilen beginnen alle mit einer Zahl ("handle") der Dateioperation in [eckigen Klammern]. Normalerweise beginnt es mit der Anweisung "Open" und dem Hinweis, wer auf die Datei zugegriffen hat. In diesem Beispiel war es Jeremy vom Computer GDPLAP aus.
Danach folgt das Programm (Explorer), mit dem die Datei geöffnet wurde und die Berechtigungen, die das Programm benutzt hat. Alle Einträge nach dem "Open"-Befehl mit dem gleichen "handle" gehören zur gleichen Datei bis zum Eintrag "Close".

weiter zu "zu überwachendes Verzeichnis"Next