Dateizugriff loggen

[goflo]

Hi Coder Ecke

Ich habe noch nicht so viele Erfahrungen mit Programmierung und wollte mal fragen ob es eine einfache Möglichkeit gibt, mittels Batch oder einem anderen Script, alle Dateizugriffe in einem bestimmten Ordner in eine .log schreiben zu lassen.
Das log könnte zu Beispiel so aussehen:

Datum____Uhrzeit_____Dateiname
1.1.2006__13:00______Beispiel.xls

Es würde sich in diesem Fall um Office Dokumente handeln!
Ich habe das ganze schon per VBA gelöst, aber der Code müsste in jede Datei im Ordner geladen werden und das sind ziemlich viele!

Vielleicht geht´s ja so einfacher!

GoFlo

Edit1: ach ja das ganze, sollte auf Win2000Server bzw bald auf Win2003Server laufen
@Xalon ich informiere mich mal über API-Hooking, weil ich damit nicht wirklich viel anfangen kann!

Edit2: so wie ich API Hooking verstanden habe, ist es die Veränderung einer Win Funktion!?
Wie aufwendig das ist, kann ich nicht beurteilen!
Das müssen schon die Coder Profis beurteilen!

 

[Xalon]

Also mir fällt spontan API-Hooking ein aber sowas kompliziertes suchst du wohl nicht,oder?

Xalon

 

[goflo]

keine anderen Vorschläge/Ideen?
ist wohl zu aufwendig?

GoFlo

 

[stone.dr]

Windows hat so eine Funktion schon eingebaut.

Systemsteuerung / Verwaltung / Ereignisanzeige / Anwendung

 

[goflo]

@ stone.dr

Wo und wie kann ich in der Ereignisanzeige erkennen welche Datei wann geöffnet wurde?

GoFlo

 

[stone.dr]

Sorry, gar nicht

 

[CDW]

hm, es gibt aber eine nette WinAPI (bevor man versucht all die anderen zu hooken )
FindFirstChangeNotification
http://msdn.microsoft.com/library/en-us/fileio/fs/findfirstchangenotification.asp?frame=true
oder auch einen Ordner überwachen:
http://msdn.microsoft.com/library/en-us/fileio/fs/readdirectorychangesw.asp
da gibts einige Beispiele bei google:
http://vbnet.mvps.org/index.html?code/fileapi/watchedfolder.htm

 

[shodan]

Doch, Windows hat so eine Funktion eingebaut.

Unzwar über die Ereignisanzeige.
Man muss es nur aktivieren.

Unzwar wie folgt:

Start -> Ausführen -> gpedit.msc -> Computerconfiguration ->
Windows-Einstellungen -> Sicherheitseinstellungen ->
Lokale Richtilinien -> Überwachungsrichtilinen.

Dann Objektzugriffsversuche überwachen: Erfolgreich und Fehlgeschlagen einstellen.

Dann zumachen und Start -> Ausführen -> gpupdate um die Richtlinie
zu Übernehmen.

Das war der erste Teil.

Weiter:
Zu überwachenden Ordner auswählen ( Achtung ! Ordner muss auf einer NTFS Partition liegen)
-> Rechte Maus -> Eigenschaften -> Sicherheit -> Erweitert ->
Überwachung -> Hinzufügen ( Hier den User oder die Gruppe auswählen die mann überwachen will )
dann ok und jetzt die zu Überwachenden Aktionen auswählen und OK.
Jetzt noch einen haken bei " Uberwachungseinträge für alle Untegordneten Objekte duch die angezeigten einträge ... ersetzen.

Fertig.

Auswerten der Ereignisse:

Start -> Ausführen -> eventvwr.msc -> Sicherheit -> Ansicht -> Filter.

Ereignisquelle : Security
Kategorie: Objektzugriff

Jetzt noch bei benutzer den Benutzer oder bei Computer den Computernamen eintragen
und oben auswählen ob man fehlgeschlagene oder Erfolgreiche anzeigen lassen will.

Das wars schon.
Allerdings jeh mehr Überwachenden Aktionen man aktiviert desto voller
wird das Ereignisprotokoll daher auf die Größe des Protokolls achten.

mfg

 

[goflo]

@CWD & Shodan

vielen Dank für die Hilfe!
Besonders den Vorschlag von Shodan werde ich mir am we mal zu Gemüthe führen!

Danke auch an alle anderen Antworter!

GoFlo