Unterdrücken von Ereignisprotokolleinträgen für die Überwachung von Sicherheit und Dateizugriff


0

Ich habe "Audit object access" auf einem Windows Server 2008-R2 eingerichtet. Ich ging dann zu einem bestimmten Ordner properties / security / advanced / auditing und fügte einen Eintrag für "Jeder" hinzu und überprüfte sowohl "Erfolgreich" als auch "Fehlgeschlagen" für das Element "Dateien erstellen / Daten schreiben".

Dies alles funktioniert einwandfrei und in der Ereignisanzeige / Windows-Protokolle / Sicherheit wird die Ereignis-ID 4656 mit der Aufgabenkategorie "Dateisystem" angezeigt. Wenn ich eine Datei in diesem Ordner bearbeite, werden meine Benutzer-ID und "Notepad.exe" angezeigt als Test. Jetzt sehe ich jedoch auch Tausende (buchstäblich mehrere Tausend - bis zu 50 pro Sekunde) anderer Ereignisse mit derselben Ereignis-ID, jedoch mit der Aufgabenkategorie "Anderer Objektzugriff" mit Details wie "Ein Handle für ein Objekt wurde angefordert". Object Server = "PlugPlayManager", Process = Svchost.exe. Diese gab es vor dem Einrichten dieser Prüfung nicht.

Ich weiß also, dass ich das Ereignisprotokoll nach bestimmten Dingen filtern kann, aber nicht nach Aufgabenkategorie, und das Hauptproblem ist, dass mir diese anderen Ereignisse einfach egal sind - ich möchte nur verfolgen, wer eine Datei bearbeitet hat, Punkt. Die Tausenden (und während ich das schreibe, sind es jetzt Zehntausende) dieser anderen Ereignisse sind mir egal. Wie kann ich diese "anderen Objektzugriffsereignisse" stoppen und nur die Dateibearbeitung überwachen? Vielen Dank

Antworten:


0

Ok, ich wollte die Frage löschen, aber ich glaube, andere haben möglicherweise die gleiche Frage. Was ich tun musste, war unten im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" der lokalen Sicherheitsrichtlinie nachzuschlagen und zwei Dinge zu tun:

  1. Gehen Sie zu "Object Access" und wählen Sie Audit File System -> Properties -> Configure the following events -> (Erfolg und Misserfolg prüfen).

  2. Gehen Sie in Object Access zu Audit Handle Manipulation -> Properties. Hier mache ich etwas anderes - ich habe "Configure the following events" gewählt und auch NICHT angekreuzt, ich schließe einfach das Kästchen. Dann ändert es den Status von "Nicht konfiguriert" (was anscheinend "trotzdem überwachen" bedeutet) in "Keine Überwachung".

Ich hoffe das hilft jemandem. Ich sehe jetzt nur meine Dateibearbeitungsereignisse. (Beachten Sie, dass dies zusätzlich zu der ursprünglichen Aktion zum Festlegen des Zugriffs auf das Überwachungsobjekt und natürlich zum Aufrufen des Ordners selbst unter Eigenschaften, Erweitert usw. und zum Ändern der Einstellungen auf der Registerkarte Überwachung erforderlich ist.)

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.