Werden Versuche, auf eine Protokolldatei (Text) zuzugreifen, irgendwo protokolliert?
In den Windows-Ereignisprotokollen wird alles angezeigt, was protokolliert wird.
Control Panel\Administrative Tools\Event Viewer
Hier gehst du hin, um sie zu sehen. Leider sind nur Teile davon ohne Administratorrechte einsehbar.
Bestimmte Anwendungen können sich natürlich dafür entscheiden, die Ereignisprotokolle nicht zu verwenden, und stattdessen ihre eigenen Dateien verwenden. In diesem Fall hängt es von der Installation der Anwendung und den Gruppenrichtlinieneinstellungen ab, ob Sie Zugriff darauf haben.
Der Zugriff auf Anwendungsprotokolldateien wird NICHT protokolliert, es sei denn, zu diesem Zweck wurde ein anderes Tool installiert.
Werden Versuche, eine Protokolldatei zu löschen, protokolliert?
Erst wenn der Versuch aufgrund der Sicherheitseinstellungen in der Datei fehlschlägt, wird dies als Überwachungsfehler protokolliert. Oder wenn ein Überwachungsdienstprogramm installiert und zum Überwachen der Datei eingerichtet ist.
Welche Befehlszeilenoptionen stehen zum Ändern einer Protokolldatei zur Verfügung?
Nicht klar, was du damit meinst. Textbasierte Anwendungsprotokolldateien sind nur Textdateien, vorausgesetzt, sie sind nicht durch eine Reservierung gesperrt (z. B. hat die Anwendung die zum Lesen oder Schreiben geöffnete Datei gesperrt). Sie können mit jedem Befehl bearbeitet werden, der Text bearbeitet - z. B. Notepad - und von gelöscht werden der übliche Löschbefehl. Oder Sie könnten:
echo "rubbish" >c:\some\folder\filename.log
Welches würde den Inhalt mit Müll ersetzen.
Dies hängt alles davon ab, dass ein Benutzer ohne Administratorrechte auf die Datei zugreifen kann. Dies hängt wiederum von der jeweiligen Anwendungsinstallation und den Gruppenrichtlinieneinstellungen ab (vorausgesetzt, Sie sind Teil einer Windows-Domäne). Dies kann auch von bestimmten Einstellungen der Datei / des Ordners abhängen, die von Administratoren angewendet werden.
Die Windows-Ereignisprotokolle unterscheiden sich geringfügig. Ein normaler Benutzer kann einige der Protokolle (z. B. das Anwendungsprotokoll) lesen, aber nicht ändern.
Welche Berechtigungen habe ich (normaler Benutzer) standardmäßig für eine Protokolldatei und einen Ordner?
Wie bereits erläutert, kann dies nicht wirklich vorhergesagt werden, wenn es sich um eine Anwendungsprotokolldatei außerhalb der Windows-Ereignisprotokolle handelt. Wenn Sie im Windows Explorer zur Datei navigieren, klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften. Auf der Registerkarte "Sicherheit" sehen Sie, über welche Rechte Sie verfügen.
Bei den Windows-Ereignisprotokollen haben Benutzer nur Lesezugriff auf die Systemprotokolle der Anwendung. Sie haben möglicherweise andere, wenn bestimmte Anwendungen installiert sind. Beispielsweise verfügt Internet Explorer über ein eigenes Protokoll. Sie hätten jedoch keinen Zugriff auf das Sicherheitsprotokoll. Diese Einstellungen können jedoch in Gruppenrichtlinien geändert werden.
Kann ich die Protokolldateien oder -ordner auch ohne Administratorrechte ändern?
Siehe die Antworten oben.
Wenn ich mich in einer anderen Umgebung befinde (Exchange Server 2003) und nur über die Berechtigungen eines normalen Benutzers verfüge, kann es dann Unterschiede bei den Antworten auf die obigen Fragen geben?
Ja! Vielleicht / wahrscheinlich! Es ist unwahrscheinlich, dass Sie auf einem Exchange-Server überhaupt Zugriff haben, da nicht erwartet wird, dass Sie sich direkt bei einem Exchange-Server anmelden, sondern nur mit einem Client wie Outlook. Sie sollten keinen direkten Zugang haben.