Ich möchte das Löschen von Dateien und Ordnern auf einem Windows 2016 Datacenter Server überwachen. Ich überwache bereits die Ereignis-ID 4663 und die Ereignis-ID 4659 mit der folgenden Beschreibung:
4659: „Ein Handle für ein Objekt wurde mit der Absicht angefordert, es zu löschen.“
4663: „Es wurde versucht, auf ein Objekt zuzugreifen“
Ich filtere diese Ereignisse auf diejenigen herunter, die in ihrem „Accesses“-Objekt „DELETE“ haben. Es scheint jedoch eine weitere Ereignis-ID zu geben, deren Hinzufügen zu den überwachten Ereignissen logisch erscheint:
4660: „Ein Objekt wurde gelöscht“
Soweit ich online gelesen habe, löst das Löschen eines Objekts sowohl dieses Ereignis als auch das Ereignis 4663 aus. Und „dies sollte zusammen mit 4663 überwacht werden, da dieses Ereignis nicht den Objektnamen liefert.“
Meine Frage lautet: Gibt es einen Grund für mich, Ereignis 4660 zu überwachen, wenn ich bereits Ereignis 4663 überwache? Da ich nur an der Löschung von Objekten interessiert bin, werden alle anderen Informationen zu diesen Ereignissen verworfen. Andererseits: Ist es möglich, dass ich ein Löschereignis verpasse, wenn Ereignis 4660 nicht überwacht wird?
Ich danke Ihnen für Ihre Hilfe
Antwort1
Ich würde mir die Dokumentation dieses Ereignisses von Microsoft ansehen, statt der von ManageEngine.finden Sie hier.
Zusammenfassung: Sie können 4660 im Allgemeinen ignorieren, da 4663 immer protokolliert wird, wenn ein Objekt gelöscht wird. Sie erhalten jedoch möglicherweise auch eine 4663, wenn ein Objekt umbenannt wird, während Sie nur die Ereignis-ID 4660 erhalten, wenn ein Objekt gelöscht wird.
Der Nachteil besteht darin, dass Ereignis 4660 nicht den Objektnamen enthält, sondern nur die Handle-ID, die Sie mit einem Ereignis 4663 korrelieren müssten.
Die meisten Leute reichen aus, wenn sie lediglich 4663 Ereignisse überwachen.