Wir haben eine Website, die Dateien erstellt, die in einen Ordner abgelegt und von einem anderen Prozess abgerufen werden, der die Dateien auf einen anderen Server kopiert (nicht mein Design).
In unserer Produktionsumgebung wird die Verschiebung durch eine geplante Aufgabe durchgeführt, die jede Minute ausgelöst wird und eine Batchdatei aufruft, die ein Powershell-Skript aufruft, das die Dateien tatsächlich verschiebt (auch dies ist nicht mein Entwurf).
Nun die Frage:
Die Website ist in unserer UAT-Umgebung identisch eingerichtet. Die Dateien werden in einem Ordner abgelegt und dann verschoben. Aber es gibt keine geplante Aufgabe auf dieser Box, und ich habe große Schwierigkeiten herauszufinden, welcher Prozess die Dateien tatsächlich verschiebt.
Es kann sein, dass es nicht einmal auf demselben Computer ausgeführt wird wie der Ordner. Irgendeine Idee, wie ich feststellen kann, welcher Prozess die Dateien verschiebt oder zumindest, welcher Computer dies tut?
Antwort1
Sie können den Prozessmonitor von SysInternals verwenden und nach Dateisystemeinträgen mit dem Pfad oder Dateinamen der verschobenen Dateien filtern. Wenn es sich um einen lokalen Prozess handelt, sollte dies angezeigt werden. Wenn es sich nicht um einen lokalen Prozess handelt, werden Sie sehen, dass die Dateien von „System“ oder etwas Ähnlichem verschoben werden.
Leider muss der Prozessmonitor während des Verschiebens ausgeführt werden, und da der Prozessmonitor relativ schwer ist, kann es während der Fehlerbehebung zu Problemen mit dem gesamten Server kommen.
Wenn die Dateien von einem Remoteprozess verschoben werden, können Sie SysInternals PsFile oder ein ähnliches Dienstprogramm verwenden, um herauszufinden, wer auf sie zugreift.
SysInternals-Startseite:https://technet.microsoft.com/en-us/sysinternals/default
Antwort2
Dies ist mithilfe einer Sicherheitsüberwachungsprotokollierung für die betreffende Datei und die betreffenden Verzeichnisse („Ordner“) möglich.
Führen Sie zunächst die Gruppenrichtlinie ( gpedit.msc) als Administrator aus. Navigieren Sie im linken Bereich zu Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Überwachungsrichtlinie. Aktivieren Sie im rechten Bereich sowohl „Objektzugriff überwachen“ als auch „Prozessverfolgung überwachen“, um sie bei Erfolg zu aktivieren. (Eine Überwachung bei Fehlern hat nicht viel Sinn, da fehlgeschlagene Zugriffsversuche nicht zum Verschieben einer Datei führen!)
ODER - wenn Sie Windows 7 oder höher verwenden, können Sie es folgendermaßen machen: Navigieren Sie im linken Bereich zu Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Erweiterte Überwachungsrichtlinie | Systemüberwachungsrichtlinien. Aktivieren Sie unter „Detaillierte Nachverfolgung“ „Prozesserstellung überwachen“ auf Erfolg. Aktivieren Sie unter „Objektzugriff“ „Dateisystem überwachen“ auf Erfolg. Diese Methode erzeugt etwas weniger falsche Einträge in Ihrem Ereignisprotokoll. HINWEIS: Wenn unter „Erweiterte Überwachungsrichtlinie“ etwas anderes als „Nicht konfiguriert“ eingestellt ist, ist es besser, auch hier nachfolgende Änderungen vorzunehmen, da das Vornehmen von Einstellungen sowohl hier als auch in der weniger detaillierten „Überwachungsrichtlinie“, die im vorherigen Absatz beschrieben wurde, zu seltsamen Ergebnissen führen kann.
Weiter: Gehen Sie im Explorer zum Quellverzeichnis der Verschiebung. Klicken Sie mit der rechten Maustaste auf ein Verzeichnis, wählen Sie Eigenschaften, dann die Registerkarte Sicherheit und dann „Erweitert“ (fast alles, was sinnvoll ist, befindet sich immer unter einer Registerkarte oder Schaltfläche „Erweitert“ …). Klicken Sie auf die Registerkarte „Überwachung“, dann auf „Fortfahren“ und dann auf „Hinzufügen“. Der resultierende Dialog sieht genauso aus wie der zum Hinzufügen eines Eintrags zu einer „Berechtigungsliste“, aber in diesem Fall bestimmen die Einträge, die Sie erstellen, dass die angegebenen Vorgänge überwacht werden sollen – d. h. es werden Überwachungsprotokolleinträge für sie erstellt.
Für einen „Principal“ verwenden Sie die Gruppe „Jeder“. Für „Type“ möchten Sie wahrscheinlich nur „success“ (wiederum verschieben fehlgeschlagene Versuche natürlich keine Dateien). „Gilt für:“ wählen Sie „Diesen Ordner, Unterdateien und Dateien“. Wählen Sie alle „erweiterten Berechtigungen“ aus.
Wiederholen Sie den Vorgang für das Zielverzeichnis.
Wenn die betreffende Datei bereits im Quellverzeichnis vorhanden ist, können Sie die Überwachung nur für diese Datei und nicht für das Verzeichnis aktivieren, in dem sie sich befindet (aktivieren Sie sie jedoch auch für das Zielverzeichnis).
Alle erfolgreichen Versuche, auf das/die Verzeichnis(se) oder die Datei zuzugreifen (wenn Sie die Überwachung auf dieser Ebene aktiviert haben), werden jetzt im Sicherheitsprotokoll angezeigt.
Um die Überwachungseinträge anzuzeigen, gehen Sie zu Computerverwaltung, Systemprogramme | Ereignisanzeige, Windows-Protokolle und wählen Sie das Sicherheitsprotokoll aus. Korrelieren Sie die Protokolleinträge für den Datei-/Verzeichniszugriff mit den Einträgen zur Prozesserstellung.
Es dauert oft ein bis zwei Minuten, bis Überwachungseinträge in der Ereignisanzeige angezeigt werden. Scheuen Sie sich nicht, mehrmals die Schaltfläche „Aktualisieren“ zu verwenden.
nb: Security-Audit-Log-Einträge für "Objektzugriff" (einschließlich Dateien) geben nur die Zeiten an, zu denen die Objektegeöffnetfür den Zugriff, nicht für die Zeitpunkte der tatsächlichen Durchführung und nicht für die konkreten Operationen.
Beispiel: Wenn jemand eine Datei für Lese- und Schreibzugriff öffnet, wird ein Prüfeintrag generiert. Nachfolgende tatsächliche Lese- und Schreibvorgänge in der DateinichtPrüfeinträge generieren. Und es wird unmöglich sein, aus dem Prüfprotokoll zu erkennen, ob tatsächlich in die Datei geschrieben wurde – nur, dass sie so geöffnet wurde, dass das Schreiben möglich war. Um diese Details zu erhalten, müssen Sie Process Monitor verwenden, wie von Mike Nakis beschrieben.