none
Überwachung der Auswertung von Audit Logs (Ex2010/2016)

    Frage

  • Hallo zusammen,

    ich habe viele Dokumente zum Thema Audit Logging gefunden und weiß, wie die Auswertung funktioniert.

    Ich habe jedoch keine Information dazu gefunden, ob der Vorgang des Auswertens an sich protokolliert wird und ob diese Protokolle vom Exchange-Admin verändert werden könnte.

    Theoretischer Hintergrund: Der Betriebsrat hat Bauchschmerzen mit der Überwachung, es sei denn, man kann von Dritter Seite (Betriebsrat) feststellen, ob, wann und wer Auswertungen durchgeführt hat.

    Gibt es das - mit Bordmitteln oder ggf. Drittsoftware?

    Gruß,
    Wolfgang


    Wolfgang

    Dienstag, 12. Februar 2019 11:03

Antworten

  • Moin,

    nein, natürlich nicht, denn die "Auswertung" ist ja nur ein Lesen der Event Logs. Die einzige Art, das irgendwie mitzuschneiden, die mir gerade einfällt, wäre

    • allen Benutzer, normalen und administrativen, das Recht, die Logs zu lesen zu entziehen. Systembenutzer müssen das Recht natürlich behalten...
    • ein spezielles Account zu definieren, das als Einziges dieses Recht hat
    • Anmeldungen dieses Accounts zu überwachen.

    Sicher ein Vorschlag aus dem Bereich "für jedes technische Problem gibt es eine juristische Lösung", aber wir sind ja auch in Deutschland ;-)

    Was ich machen würde, wäre dem BR die Gegenfrage zu stellen: Sind sie bereit, einen Mitarbeiter zu vertreten, mit dessen Konto auf Ressourcen zugegriffen wurde, die ihm nicht zustehen, *ohne* dass durch die Auswertung der Event-Logs nachgewiesen werden kann, dass er es nicht selbst gewesen ist? Und wenn sie es sind... nun ja, dann bist Du ja raus ;-)


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    • Als Antwort markiert Wolf108 Freitag, 12. April 2019 07:37
    Dienstag, 12. Februar 2019 11:10

Alle Antworten

  • Moin,

    nein, natürlich nicht, denn die "Auswertung" ist ja nur ein Lesen der Event Logs. Die einzige Art, das irgendwie mitzuschneiden, die mir gerade einfällt, wäre

    • allen Benutzer, normalen und administrativen, das Recht, die Logs zu lesen zu entziehen. Systembenutzer müssen das Recht natürlich behalten...
    • ein spezielles Account zu definieren, das als Einziges dieses Recht hat
    • Anmeldungen dieses Accounts zu überwachen.

    Sicher ein Vorschlag aus dem Bereich "für jedes technische Problem gibt es eine juristische Lösung", aber wir sind ja auch in Deutschland ;-)

    Was ich machen würde, wäre dem BR die Gegenfrage zu stellen: Sind sie bereit, einen Mitarbeiter zu vertreten, mit dessen Konto auf Ressourcen zugegriffen wurde, die ihm nicht zustehen, *ohne* dass durch die Auswertung der Event-Logs nachgewiesen werden kann, dass er es nicht selbst gewesen ist? Und wenn sie es sind... nun ja, dann bist Du ja raus ;-)


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    • Als Antwort markiert Wolf108 Freitag, 12. April 2019 07:37
    Dienstag, 12. Februar 2019 11:10
  • Vielen Dank für die Rückmeldung,

    Letztendlich läuft alles darauf hinaus, dass man einem Administrator ab einer gewissen Stelle vertrauen muss. Das werde ich dem Bedarfsträger und dem Betriebsrat zu mitteilen. Dann sollen sie entscheiden, was wichtig ist.


    Wolfgang

    Freitag, 12. April 2019 07:37