Forums Neueste Beiträge
 

dateizugriffs-audit und ereignisgesteuerter task

17/02/2010 - 20:35 von M. Müller | Report spam
hallo.

(ich hoffe, es passt hier rein)

ich wollte gerade ein bisschen austesten, wie ich dateizugriffe
überwachen und dann ereignisgesteuert dazu einen task ausführen lassen
kann - theoretisch klappt es auch, aber eben nicht ganz.

in den gruppenrichtlinien für den lokalen computer die
audit-einstellungen auf erfolg und fehler angehakt, gruppenrichtlinie
per gpupdate aktualisiert und für einen ordner testweise auditing
eingestellt. in der ereignisanzeige taucht das auch alles brav auf.
mich interessierte dann davon event 4663 für nen dateizugriff, damit
ich damit einen task automatisch starten kann.

also in den taskplaner und bei auftreten des events 4663 aus dem
security log soll zunàchst mal eine nachricht angezeigt werden - die
bekomme ich aber nirgends zu gesicht. die historie des tasks zeigt mir
folgendes an:

Task Scheduler successfully completed task "\dateizugriff" , instance
"{3e40cbf8-bd96-47ad-a513-7d9c07014a70}" , action
"DATEIZUGRIFFSWARNUNG" with return code 1.

- <Event
xmlns="http://schemas.microsoft.com/win/20...">
- <System>
<Provider Name="Microsoft-Windows-TaskScheduler"
Guid="{de7b24ea-73c8-4a09-985d-5bdadcfa9017}" />
<EventID>201</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>201</Task>
<Opcode>2</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2010-02-17T19:31:12.016Z" />
<EventRecordID>197318</EventRecordID>
<Correlation ActivityID="{3E40CBF8-BD96-47AD-A513-7D9C07014A70}" />
<Execution ProcessID="4628" ThreadID="5564" />
<Channel>Microsoft-Windows-TaskScheduler/Operational</Channel>
<Computer>MasselMobil</Computer>
<Security UserID="S-1-5-21-3283661701-2377848488-2925541090-1000" />
</System>
- <EventData Name="ActionSuccess">
<Data Name="TaskName">\dateizugriff</Data>
<Data
Name="TaskInstanceId">{3E40CBF8-BD96-47AD-A513-7D9C07014A70}</Data>
<Data Name="ActionName">DATEIZUGRIFFSWARNUNG</Data>
<Data Name="ResultCode">1</Data>
</EventData>
</Event>

also erfolgreich ausgeführt wurde der task, aber es tauchte nirgends
ein nachrichtenfenster auf. jemand eine idee, woran das liegen könnte?
(oder falls es hier falsch ist, wo der richtige platz dafür ist ;))

gruß,

marcel
 

Lesen sie die antworten

#1 Thomas D.
18/02/2010 - 10:27 | Warnen spam
Hallo,

auch wenn es die Option "Nachricht anzeigen" gibt, so ist diese Funktion
kaum zu gebrauchen, da der Nutzer die Meldung in den meisten Fàllen nicht
zu Gesicht bekommt (sie ist "verdeckt") - das geschieht aber nicht
grundlos.

Lösung:
Erstelle dir eine Textdatei mit deiner Nachricht und lasse durch die Task
diese Textdatei öffnen.


Grüße
Thomas

Ähnliche fragen