none
Alle Eventlog-Einstellungen auf einen Blick RRS feed

  • Frage

  • Hallo,

    im Eventlog stehen sammeln sich mit der Zeit enorm viele Daten. Gibt es eine zentrale Übersicht/Darstellung, welche Einstellungen alle getätigt wurden, um Daten in das Eventlog zu schreiben? Aktuell suche ich manuell in der GPO und in der Verzeichnissicherheit.

    Danke

    Montag, 20. Juli 2020 06:31

Alle Antworten

  • Moin,

    meinst Du die Audit-Einstellungen? Da können Dir höchstens die zahlreichen Audit-Tools a la VARONIS helfen, da die Einstellungen ja a. über die GPOs und b. im Falle von File- Audit über die betroffenen Filesysteme verteilt sind.

    Alternativ: PowerShell und selbst ist der Mann :-) Da die Anforderung nicht so exotisch ist, könnte sich auch ein Blick in das Script Center lohnen, solange es noch da ist...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 20. Juli 2020 06:49
  • normalerweise überschreibt der Eventviewer alte Log Dateien wenn das Log zu Groß wird. Es sollten sich also nicht enorm viele Daten ansammeln.

    Die aktuellen Auditeinstellungen für den Server siehst du über Admin-CMD mit:

    auditpol.exe /get /category:*

    MfG

    *Edit: Wenn bei dem Auditpol Befehl kein Objekt überwacht wird, guck mal in den Lokalen Sicherheitsrichtlinien -> Lokale Richtlinien -> Überwachungsrichtlinie

    *Edit2: Powershell durch Admin-CMD ersetzt. Danke für den Hinweis @Evgenij Smirnov
    • Bearbeitet mcsa2018 Freitag, 28. August 2020 12:10
    • Als Antwort vorgeschlagen mcsa2018 Mittwoch, 16. September 2020 09:36
    Freitag, 28. August 2020 10:49
  • ... siehst du über Powershell mit:

    auditpol.exe /get /category:*
    Mit PowerShell hat der auditpol.exe Befehl nichts zu tun ;-) Das Aufrufen von CMDShell-Befehlen in der PowerShell kann unerwartete Nebeneffekte haben, und in der ISE sind sogar explizit 8 davon verboten (siehe $psUnsupportedConsoleApplications)...

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 28. August 2020 11:48
  • Mit PowerShell hat der auditpol.exe Befehl nichts zu tun ;-) Das Aufrufen von CMDShell-Befehlen in der PowerShell kann unerwartete Nebeneffekte haben, und in der ISE sind sogar explizit 8 davon verboten (siehe $psUnsupportedConsoleApplications)

    Danke für den Hinweis. Bitte dann in der CMD den Befehl ausführen und nicht in der Powershell.

    Freitag, 28. August 2020 12:09