Servus Community,
ich habe auf unserem Fileserver eine Überwachungsrichtlinie definiert, welche Löschungen von Dateien und Verzeichnisse im Security Eventlog protokolliert. Das funktioniert soweit auch ganz gut. Auch habe ich mehrere Möglichkeiten das Logfile zu parsen, entweder benutzerdefiniert mit einem Powershell Kommando oder scheduled mit einem Powershell Skript, welches Löschoperationen auf das wesentliche formatiert in eine Textdatei schreibt. Vorgegangen bin ich dabei nach folgender Anleitung:
http://woshub.com/tracking-files-deletion-using-audit-policy-and-mssql/
Allerdings produziert das sehr, sehr viele Logs. So werden zB auch alle temporär angelegten Dateien mit aufgezeichnet, die zB beim Beenden eines Programms oder beim Schließen von Dateien wieder gelöscht werden. Das mag grundsätzlich auch richtig sein, geht aber doch weit über meine Anforderung hinaus. Die Frage die sich jetzt stellt, kann man die Protokollierung in irgendeiner Weise auf das Wesentliche reduzieren oder übersteigt der Aufwand ein solches Konzept zu erarbeiten, den Nutzen dann doch erheblich?
Alle weiteren Anleitungen, die ich dazu gefunden habe, arbeiten alle mit dem oben verlinktem Konzept, also eine einfache Lösung scheint es wohl nicht zu geben.