Suche: File Monitor für ServerNT4/2003 für VisualBasic6 zur Auswertung der Logs

Dieses Thema Suche: File Monitor für ServerNT4/2003 für VisualBasic6 zur Auswertung der Logs im Forum "Windows XP Forum" wurde erstellt von _Fire_Dragon_, 2. Sep. 2005.

Thema: Suche: File Monitor für ServerNT4/2003 für VisualBasic6 zur Auswertung der Logs Hallo Leute, (da dieses Problem zu Server-Technik gehört und der Programmierung mittels Programmiersprache, hab ich...

  1. Hallo Leute, (da dieses Problem zu Server-Technik gehört und der Programmierung mittels Programmiersprache, hab ich diese Frage auch unter Netzwerktechnik-Server gestellt, verzeit mir den doppelt-Post, aber ich bin schon echt verzweifelt was mein Problem betrifft :-(, habt bitte Verständniss)

    Grunde genommen bekommt der Server doch sicherlich alles mit wenn sich auf der Festplatte sich was tut und dies ganze möchte ich gern in meinem Visual Basic 6 Programm auswerten.
    Gibt es eine Möglichkeit (wenn es geht Freeware) folgendes in Erfahrung zu bringen:
    + Welcher User (IP-Adresse oder CopmuterName)
    ++ welche Datei(en) gerade öffnet
    ++ geöffnet hat (wenn er eine Datei bearbeitet)
    ++ sie wieder schließt (nach dem abspeichern bzw. nicht speichern)
    ++ eine Datei neu erstellt
    ++ verschiebt
    ++ kopiert
    ++ löscht
    ++ u.s.w.

    so in der Art hab ich folgendes gefunden http://www.alfasp.com/protect_hiding_monitor_products.html doch ist mir diese Software mir doch einwenig zu teuer :-(

    Das ganze soll auch selbst nur auf dem Server laufen, sprich muss nicht auf den Clients installiert werden.
    Aber der Server sollte schon erkennen welche Clients was auf dem Server tut, die Clients sollten ab Win98SE und aufwerts erkannt werden.

    Kennt sich jemand gut mit MS Server aus? gibt es ein Dienst / API / COM / DLL / Plug-IN .... oder sonst irgendetwas was man mittels VB6 irgendwie ansprechen kann?

    Falls es so etwas gibt aber in eine andere Programmiersprache (zwar ungern) aber würde ich mir auch noch gefallen lassen, Hauptsache ich kann es irgendwie verwenden und in einer Log-Datei oder sogar in einer Datenbank auslesen/auswerten.

    Vielen Dank im Voraus
    Gruß
    Tim
     
  2. Hallo,

    mit einer WMI-EventQuery und Visual Basic (auch VBScript) kannst du das (relativ) leicht machen?
    Einen konkreten Link mit fertiger Lösung kann ich dir leider nicht nennen, aber unter msdn.microsoft.com findet man normalerweise alles, was man braucht!

    Bist du nur an FileServer-Sessions interessiert, oder auch an allgemeinen Veränderungen im Dateisystem?

    Gruss

    Reiner
     
  3. Ich gehe mal davon aus, dass du alle Veränderungen im Dateisystem meinst.

    Ja, tut er. Die Frage ist nur: Auf welcher Ebene?

    Jein. Es gibt mindestens zwei relativ einfache, eher schlechte (s.u.) Lösungen und eine kompliziertere, mehr oder weniger perfekte Lösung.

    Bei WMI ist das Problem, dass der Rechner in die Knie geht, wenn man viele Verzeichnisse beobachtet (100% Prozessorauslastung). Selbst bei nur einem Verzeichnis kann es, soweit ich weiss, zu 10% Auslastung kommen. Von der Firma ASCI gibt es einen kostenlosen File System Event Provider für WMI, der effizienter arbeitet. Der funktioniert zwar, liefert aber nur, wenn ich mich richtig erinnere - du kannst es ja sicherheitshalber mal checken -, Open- und Create Messages :(. Irgendwie hatte ich den Eindruck, dass er auch nur auf ReadDirectoryChangesW (Win-API) basiert.

    Ich hatte mir so etwas (ohne WMI) auch schon mal überlegt und bin auf diese mögliche Lösung gekommen:
    1. ReadDirectoryChangesW
    2. Bei Events Security Descriptor ermitteln
    3. Darüber dann den User

    Oder alternativ einen (bzw. mehrere, einer kann nur ein Volume beobachten) .NET FileSystemWatcher verwenden, 2. und 3. über PInvoke. Zusammen mit der Zeit loggen:
    06.07.2042 1:23:17 - Frank - DAMOKLES - Erzeugt - e:\temp\bla.txt
    usw.

    Leider hat die Methode ein paar gravierende Nachteile, die dieses Prinzip fast nutzlos machen.

    FileSystemWatcher bzw. die unterliegende Funktion ReadDirectoryChangesW bieten zwar folgende Datei-Ereignisfilter an:
    LastAccess, LastWrite, FileName, DirectoryName, Size, Attributes, Security

    Und einhängen kann man sich in Changed, Created, Deleted und Renamed.

    Aber

    1.
    kann man dann nicht mehr nachvollziehen, was genau geändert wurde, es wird nur der Dateiname und die Art der Änderung geliefert (eben die vier genannten Kategorien). Man bekommt also u.U. eine Menge Nachrichten, die sich nicht mehr unbedingt sinnvoll verwerten/filtern lassen.

    2.
    kann das Ergebnis inkonsistent sein (es gibt darüber auch Artikel bei MS).

    3.
    bekommt man nicht heraus, wer eine Datei gelöscht hat, da sie zum Zeitpunkt der Nachricht schon weg ist ... und das ist für deine Zwecke natürlich ganz dumm, schätze ich.
    Es gibt, soweit ich weiss, für ein Anwendungsprogramm keine Methode, vor dem Löschen eine Nachricht zu erhalten. Kann ja eigentlich auch nicht funktionieren, wenn man es genau bedenkt (angefangen mit wie wird->vorher' sichergestellt? und den systemweiten Konsequenzen daraus).

    Ein Anwendungsprogramm ist eben bloß ein Anwendungsprogramm und hat meist nicht wirklich Zugang zu den Innereien des Systems, wenn's drauf ankommt.
    Die gute, aber teure/aufwendige Lösung ist daher ein eigener Filesystem-Filter-Treiber. Der sitzt über dem eigentlichen Treiber und kann alles loggen/abfangen/modifizieren, was ihn durchqueren will. Aber einen Kernel-Mode-Treiber kann man nicht mal eben so unter Verwendung des normalen SDKs aus dem Ärmel schütteln (Filtertreiber auch nicht gut nur mit dem DDK). Der kommt dann aber auch an Dateiinfos, bevor auf die Datei überhaupt physisch zugegriffen wird, deswegen kann man damit sogar eigene Schutz- und Verschlüsselungssysteme konstruieren, wie Alfa es macht, Echtzeit-Virenscanner und, um beim Thema zu bleiben, Tools wie FileMon von Winternals.

    Um zum Ende zu kommen: Die Antwort auf deine Frage ist also, nach meinem Wissensstand, ein unbefriedigendes nicht wirklich, da es entweder schlecht, zu teuer oder zu aufwendig (und auch damit zu teuer) wäre. Vielleicht hat ja jemand noch eine andere Idee.
     
Die Seite wird geladen...

Suche: File Monitor für ServerNT4/2003 für VisualBasic6 zur Auswertung der Logs - Ähnliche Themen

Forum Datum
Suche SpielProfile für G13... Windows XP Forum 3. Apr. 2012
suche tool um RM files zu schneiden Windows XP Forum 22. Feb. 2008
Suche speziellen File-Editor Windows XP Forum 20. Okt. 2007
keine suche im "temporary internet files"-ordner möglich ? Windows XP Forum 26. Sep. 2006
Suche: FileRecovery für .doc und .txt Windows XP Forum 7. Jan. 2006