Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

dateizugriffs-audit und ereignisgesteuerter task

4 views
Skip to first unread message

M. M�ller

unread,
Feb 17, 2010, 2:35:56 PM2/17/10
to
hallo.

(ich hoffe, es passt hier rein)

ich wollte gerade ein bisschen austesten, wie ich dateizugriffe
�berwachen und dann ereignisgesteuert dazu einen task ausf�hren lassen
kann - theoretisch klappt es auch, aber eben nicht ganz.

in den gruppenrichtlinien f�r den lokalen computer die
audit-einstellungen auf erfolg und fehler angehakt, gruppenrichtlinie
per gpupdate aktualisiert und f�r einen ordner testweise auditing
eingestellt. in der ereignisanzeige taucht das auch alles brav auf.
mich interessierte dann davon event 4663 f�r nen dateizugriff, damit
ich damit einen task automatisch starten kann.

also in den taskplaner und bei auftreten des events 4663 aus dem
security log soll zun�chst mal eine nachricht angezeigt werden - die
bekomme ich aber nirgends zu gesicht. die historie des tasks zeigt mir
folgendes an:

Task Scheduler successfully completed task "\dateizugriff" , instance
"{3e40cbf8-bd96-47ad-a513-7d9c07014a70}" , action
"DATEIZUGRIFFSWARNUNG" with return code 1.

- <Event
xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-TaskScheduler"
Guid="{de7b24ea-73c8-4a09-985d-5bdadcfa9017}" />
<EventID>201</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>201</Task>
<Opcode>2</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2010-02-17T19:31:12.016Z" />
<EventRecordID>197318</EventRecordID>
<Correlation ActivityID="{3E40CBF8-BD96-47AD-A513-7D9C07014A70}" />
<Execution ProcessID="4628" ThreadID="5564" />
<Channel>Microsoft-Windows-TaskScheduler/Operational</Channel>
<Computer>MasselMobil</Computer>
<Security UserID="S-1-5-21-3283661701-2377848488-2925541090-1000" />
</System>
- <EventData Name="ActionSuccess">
<Data Name="TaskName">\dateizugriff</Data>
<Data
Name="TaskInstanceId">{3E40CBF8-BD96-47AD-A513-7D9C07014A70}</Data>
<Data Name="ActionName">DATEIZUGRIFFSWARNUNG</Data>
<Data Name="ResultCode">1</Data>
</EventData>
</Event>

also erfolgreich ausgef�hrt wurde der task, aber es tauchte nirgends
ein nachrichtenfenster auf. jemand eine idee, woran das liegen k�nnte?
(oder falls es hier falsch ist, wo der richtige platz daf�r ist ;))

gru�,

marcel

Thomas D.

unread,
Feb 18, 2010, 4:27:16 AM2/18/10
to
Hallo,

auch wenn es die Option "Nachricht anzeigen" gibt, so ist diese Funktion
kaum zu gebrauchen, da der Nutzer die Meldung in den meisten F�llen nicht
zu Gesicht bekommt (sie ist "verdeckt") - das geschieht aber nicht
grundlos.

L�sung:
Erstelle dir eine Textdatei mit deiner Nachricht und lasse durch die Task
diese Textdatei �ffnen.


--
Gr��e
Thomas

M. M�ller

unread,
Feb 18, 2010, 11:16:06 AM2/18/10
to
On Thu, 18 Feb 2010 10:27:16 +0100, "Thomas D."
<d...@discussions.microsoft.com> wrote:

>auch wenn es die Option "Nachricht anzeigen" gibt, so ist diese Funktion
>kaum zu gebrauchen, da der Nutzer die Meldung in den meisten F�llen nicht
>zu Gesicht bekommt (sie ist "verdeckt") - das geschieht aber nicht
>grundlos.

ich hab's ja fast geahnt..

>L�sung:
>Erstelle dir eine Textdatei mit deiner Nachricht und lasse durch die Task
>diese Textdatei �ffnen.

das ging mir auch schon durch den kopf als ersatz.

danke auf jeden fall f�r de antwort :)

0 new messages