Zugriffs-Protokollierungs-tool?

[rharter]

Hallo Forum.

Ich bin nun schon länger auf der Suche, bisher leider ohne echten Erfolg...

Kennt jemand von euch ein tool, welches man in einer Domäne einsetzen kann um zwei Dinge zu protokollieren:

1. Anmeldungen von lokalen und Domänenadmins auf allen workstations und servern

2. Durch die oben genannten admins durchgeführte Änderungen auf den Systemen

Wir wollen so ein tool im Rahmen unseres Sicherheitskonzeptes einsetzen, weniger um die Admins zu kontrollieren (bin selber einer), als mehr um schnell zu Nachvollziehbarkeit bei Störungen zu kommen. Dazu ist eine manuelle Auswertung des Ereignisprotokolls einfach zu aufwändig.

Wäre sehr dankbar für Tipps!

Rainer

[lupo49]

Das erste Problem könnte man mittels zentraler Überwachung der Ereignisanzeige ("Sicherheit") realisieren. Es kann bspw. ein zentraler Syslog-Server alle Sicherheits An-/Abmeldungen von den Workstations empfangen und nach deinen Kriterien filtern.

Das zweite Problem ist m.M.n. eher ein organisatorisches/disziplinarisches Problem. Wenn ihr auf den Workstations etwas am System ändert, dann sollte dazu ein Störungsticket existieren, in dem der Fehler beschrieben wird und in dem auch alle Tätigkeiten (die der Admin durchgeführt hat) beschrieben werden.

Es übrigens nicht nötig, dass mit Domänen-Administratoren-Rechte auf den Workstations gearbeitet wird, lokale Admin-Rechte reichen dafür völlig aus.

[rharter]

Hallo Lupo.

Danke für die Rückmeldung.

Ich habe schon gesehen, dass es verschiedene tools zur Auswertung der ereignisprotokolle in einem Netzwerk gibt. Aber eben: Damit lassen sich nur die Log ons zeigen.

Deine Antwort zum zweiten Problem beschreibt den Idealzustand - gibt es den bei euch? Oftmals werden im Alltag schnelle Änderungen durchgeführt und man loggt sich aus Gewohnheit als Dömanenadmin ein - das ist leider einfach die Realität. Durch personalisierte Domänenadminkonten ist das dann immerhin nachvollziehbar. Jedes Mal ein trouble-tickest zu erstellen ist aufwändig, aber vielleicht sogar - sollte es eben kein Kobi-tool geben - die Lösung.

Danke für die Infos. RAiner

[lupo49]

Deine Antwort zum zweiten Problem beschreibt den Idealzustand - gibt es den bei euch? Oftmals werden im Alltag schnelle Änderungen durchgeführt und man loggt sich aus Gewohnheit als Dömanenadmin ein - das ist leider einfach die Realität.

Ja, das klappt. Zwar nicht zu 100% aber in mehr als 90% der Fälle. Solche Änderungen in der alltäglichen Arbeit können nicht von jetzt auf gleich umgesetzt werden, das erfordert erst mal eine klare Organisationsanweisung und darauf aufbauend kleine Schritte, bis hin zum gewünschten Zustand.

Wichtig ist auch, dass das Ziel allen Mitarbeitern von vornherein erklärt wird und welche Vorteile sie dadurch haben werden. Das Dokumentieren der Tätigkeiten wird zwar gerne als "Overhead" angesehen, aber es spart unheimlich Zeit im Nachhinein, wenn Fehler auftreten.

Was stellst du dir denn unter der Überwachung vor? Soll vollzogen werden können, dass Mitarbeiter X um 11:45 den Ordner "foo" auf dem Desktop geöffnet hat? Herzlichen Glückwunsch an den Mitarbeiter, der diese Protokolle im Bedarfsfall untersuchen muss.