watchDirectory Hilfe > Plugins > Windows Verzeichnisse überwachen
Windows Verzeichnisse überwachen - Wer hat was getan?
Dieses Plugin von watchDirectory benutzt das Windows Ereignisprotokoll "Sicherheit" und herauszufinden, wer eine bestimmte Datei modifiziert hat.
Sie müssen Windows richtig konfigurieren, damit die überwachungsinformationen in das Windows Ereignisprotokoll "Sicherheit" geschrieben werden, sonst kann watchDirectory diese Information nicht finden und auswerten.
Einstellungen für dieses Plugin
Betriebssystem des überwachten Computers
Wählen Sie das Betriebssystem des Computers aus, der überwacht werden soll.
Dieses Plugin liest bzw. interpretiert das Ereignisprotokoll "Sicherheit"
und diese Einträge sind je nach Betriebssystem verschieden. Das Plugin
verwendet sog. "mapping files", um die Einträge der unterschiedlichen
Betriebssysteme aus dem Ereignisprotokoll zu lesen. Wenn Ihr Betriebssystem
nicht in der Auswahl zur Verfügung steht, probieren Sie ein anderes aus der
Auswahl aus. Wenn
keines fehlerfrei funktioniert, lesen Sie
hier nach, wie Sie ein neues "mapping file" anfordern können.
lokaler Verzeichnisname, um im Ereignisprotokoll "Sicherheit" nach Einträgen zu suchen
Je nach verwendetem Betriebssystem und verwendeter Hardware wird der Name des überwachten Verzeichnisses von Windows unterschiedlich in das Ereignisprotokoll "Sicherheit" geschrieben. watchDirectory liest dieses Ereignisprotokoll aus und verwendet die darin gefundenen Informationen für die Überwachungsberichte. Damit watchDirectory die richtigen Einträge auslesen kann, benötigt es die Angabe "lokaler Verzeichnisname". Verwenden Sie den Button "Assistent", um den richtigen "lokalen Verzeichnisnamen" zu ermitteln. Insbesondere bei Raid-Systemen kann der lokale Verzeichnisname vom der gewohnten Schreibweise abweichen. Beachten Sie die Informationen im Abschnitt "Ergebnis" des Assistenten.
Überwachungsergebnisse in diese Verzeichnis
schreiben
Geben Sie den Verzeichnisnamen eines bestehende Verzeichnisses an, in das watchDirectory
die überwachungsberichte schreiben soll.
Die Berichte, die watchDirectory schreibt, werden etwa so benannt: "event_567_dateiname.txt". 567
ist eine Ordnungszahl, die von watchDirectory in Anlehnung an der
Ereignis-ID im Ereignisprotokoll erstellt wird.
"Dateiname" ist der Name der Datei, für die das Ereignis aufgetreten ist.
eine .csv-Datei mit diesem Namen erstellen
Zusätzlich können Sie watchDirectory eine .csv-Datei (comma separated value) mit den Überwachungsergebnissen erstellen lassen.
Klicken Sie auf die Schaltfläche "konfigurieren", um den Inhalt der .csv-Datei zu definieren.
Diese Berichte per E-Mail senden
Zusätzlich können Sie die überwachungsberichte per E-Mail versenden.
E-Mailadresse
Geben Sie die E-Mailadresse ein, an die die Berichte geschickt werden
sollen. Sie können die Adressen in diesem Format eingeben:
- <max.mustermann@musterdomain.de>
(eine E-Mailadresse) - Max Mustermann<max.mustermann@musterdomain.de>
(eine E-Mailadresse mit einem Empfängernamen) - <max.mustermann@musterdomain.de>;<erika.mustermann@musterdomain.de>
(mehrere E-Mailadressen getrennt durch ein Semikolon ";")
E-Mail Betreff
Geben Sie den Betreff der E-Mail ein. Wenn Sie unter "Berichte senden" "sofort"
ausgewählt haben, wird der Name der Datei als Betreff eingetragen.
Berichte senden
Wählen Sie aus, wann bzw. wie oft die Berichte verschickt werden sollen.
Bitte beachten Sie, dass dieses Plugin das Programm "wdPostMan" zum Senden im Hintergrund verwendet. Sie müssen zunächst das wdPostMan Programm konfigurieren.
Beispiel eines überwachungsberichts
File/Directory C:\WUTemp\Disasm.log from 7/24/2005 10:41:31 AM to 7/24/2005 10:41:31 AM [2036] 7/24/2005 10:41:31 AM, Open File by GDPLAP\\Jeremy. Program C:\WINDOWS\explorer.exe. Permissions requested Delete, Read Attributes [2036] 7/24/2005 10:41:31 AM, Used a granted permission. Permission used Delete [2036] 7/24/2005 10:41:31 AM, Delete [2036] 7/24/2005 10:41:31 AM, Close
Die ersten beiden Zeilen nennen die Datei (C:\WUTemp\Disasm.log) sowie die
Zeitspanne des Zugriffs.
Die folgenden Zeilen beginnen alle mit einer Zahl ("handle") der Dateioperation
in [eckigen Klammern]. Normalerweise beginnt es mit der Anweisung "Open" und dem
Hinweis, wer auf die Datei zugegriffen hat. In
diesem Beispiel war es Jeremy vom Computer GDPLAP aus.
Danach folgt das Programm (Explorer), mit dem die Datei geöffnet wurde und die
Berechtigungen, die das Programm benutzt hat. Alle Einträge nach dem "Open"-Befehl
mit dem gleichen "handle" gehören zur gleichen Datei bis zum Eintrag "Close".
