Dateisystem Zugriffe überwachen
Umlüx 26.05.2015 - 13:23 1984 3
Umlüx
Huge Metal Fan
|
ich hab hier eine Windows 2000 Advanced Server maschine und würde gerne mitloggen, welcher prozess in einem bestimmten verzeichnis welche dateien manipuliert, genauer gesagt löscht.
erster gedanke: die ntfs ordnerüberwachungsrichtline. ist auf der maschine aber leider gar nicht vorhanden? und vermutlich zu unflexibel.
zweiter gedanke: sysinternals process monitor, auf alle delete events in einem bestimmten verzeichnis filtern. meine sorge dabei: das ist ja nur ein filter, loggen tut er ja weiterhin alles? wird mir das tool nach 2 tagen laufzeit irgendwann eingehen?
oder gäbe es andere möglichkeiten?
danke!
|
AdRy
Auferstanden
|
du kannst im process monitor einstellen, dass er in ein file logged. das einzige limit ist dann der vorhandene speicherplatz.
|
Umlüx
Huge Metal Fan
|
aber auch hier loggt er ALLES und nicht nur die gefilterten events. nach 30 sekunden auf meinem laptop hatte das file schon 200mb...
|
Umlüx
Huge Metal Fan
|
Filter -> Drop Filtered Events blind is ma scho.... damit hat sich die frage wohl erledigt, danke dennoch! Edit: warnung an alle, die ähnliches machen wollen. procmon bringt Win2k zum crash. es gab keine fehlermeldung oder bsod, das erste was man nach starten des programms sieht, ist der bios ladevorgang.... abhilfe schaffen die 'alten' sysinternals tools vor der übernahme. in meinem falle also filemon.exe ... sowas sollte man vorher wissen....
Bearbeitet von Umlüx am 26.05.2015, 15:47
|