Dateizugriff, User und Host auf eine Freigabe erhalten

hannes214

Hallo

Ich arbeite gerade an einem Programm, dass die Zugriffe auf eine Freigabe in unserem Netzwerk protokollieren soll.

Dank der Nutzerdefinierten Funktionen: _Net_Share_ConnectionEnum & _Net_Share_FileEnum erhalte ich auch schon ganz gute Daten.

Allerding kann ich diese nicht miteinander in verbindung bringen, da _Net_Share_ConnectionEnum eine Connection-ID des angemeldeten Users (Username und Host) zurück gibt und _Net_Share_FileEnum eine Ressource-ID der geöffneten Datei + einen Usernamen zurück gibt.

Da man sich aber nicht sicher sein kann, ob nun ein User nur einmal angemeldet ist oder ein anderer ebenfalls diesen Usernamen unrechtmäßig benutzt, muss das Programm/Funktion wohl die Connection-ID und die Ressource-ID in Verbindung bringen.

Leider weiß ich bis jetzt noch nicht, wie ich das anstellen kann.

Kann mir jemand helfen????

Gruss Hannes

hannes214

Kann denn niemand helfen???

Micha_he

Wie wäre es mit einem (allgemein laufenden) Beispiel ?

hannes214

Ok, Beispiele:

a) Anzeige aller geöffneten Dateien am Server:

Spoiler anzeigen

C

#include <GuiConstantsEx.au3> 
#include <NetShare.au3> 
#include <WindowsConstants.au3> 
#include <Date.au3> 
#include <File.au3> 


Opt('MustDeclareVars', 1) 


Global $iMemo 
Local $hGUI, $sServer, $sShare, $aInfo , $logfile 


; Servervariablen 
$sServer = " \\Server "


If FileExists("C:\Sharestatus") = False Then 
DirCreate("C:\Sharestatus") 
EndIf 


If FileExists("C:\Sharestatus\log.txt") = False Then 
_FileCreate ("C:\Sharestatus\log.txt") 
EndIf 


$logfile = FileOpen("C:\Sharestatus\log.txt", 1) 
FileWriteLine($logfile, "Zugriffsprotokoll auf: " & $sServer & "\" & $sShare) 
FileWriteLine($logfile, "Datum/Uhrzeit...Ressource-ID...Datei-Pfad...Username...") 
FileWriteLine($logfile, "=======================================================") 
FileClose($logfile) 


While True 
$logfile = FileOpen("C:\Sharestatus\log.txt", 1) 


$aInfo = _Net_Share_FileEnum ($sServer) 
For $iI = 1 To $aInfo[0][0] 
FileWriteLine($logfile, _Now() & " " & $aInfo[$iI][0] & " " & $aInfo[$iI][3] & " " & $aInfo[$iI][4]) 
Next 




FileClose($logfile) 


HotKeySet("^+x","_exitproggy") 


Sleep(60000) ; 1 Minute warten 
WEnd 


Func _exitproggy() 
Exit 
EndFunc

Alles anzeigen

b) Anzeige aller User und Hosts, die auf die Freigabe zugreifen

Spoiler anzeigen

C

#include <GuiConstantsEx.au3> 
#include <NetShare.au3> 
#include <WindowsConstants.au3> 
#include <Date.au3> 
#include <File.au3> 


Opt('MustDeclareVars', 1) 


Global $iMemo 
Local $hGUI, $sServer, $sShare, $aInfo , $logfile 


; Servervariablen 
$sServer = " \\Server "
$sShare = "Freigabe" 


If FileExists("C:\Sharestatus") = False Then 
DirCreate("C:\Sharestatus") 
EndIf 


If FileExists("C:\Sharestatus\log.txt") = False Then 
_FileCreate ("C:\Sharestatus\log.txt") 
EndIf 


$logfile = FileOpen("C:\Sharestatus\log.txt", 1) 
FileWriteLine($logfile, "Zugriffsprotokoll auf: " & $sServer & "\" & $sShare) 
FileWriteLine($logfile, "Datum/Uhrzeit...ID...Dateizugriff...Userzugriff...Verbindungszeit...Username...Host...IP...") 
FileWriteLine($logfile, "===========================================================================================") 
FileClose($logfile) 


While True 
$logfile = FileOpen("C:\Sharestatus\log.txt", 1) 


$aInfo = _Net_Share_ConnectionEnum ($sServer, $sShare) 


For $iI = 1 To $aInfo[0][0] 
TCPStartup() 
FileWriteLine($logfile, _Now() & " " & $aInfo[$iI][0] & " " & $aInfo[$iI][2] & " " & $aInfo[$iI][3] & " " & $aInfo[$iI][4] & " " & $aInfo[$iI][5] & " " & $aInfo[$iI][6] & " " & TCPNameToIP($aInfo[$iI][6])) 
Next 


FileClose($logfile) 


HotKeySet("^+x","_exitproggy") 


Sleep(60000) ; 1 Minute warten 
WEnd 


Func _exitproggy() 
Exit 
EndFunc

Alles anzeigen

Alles für sich funktioniert super, nur eben will ich die Ergebnisse beider Funktionen (_Net_Share_ConnectionEnum & _Net_Share_FileEnum ) in Verbindung bringen.

Ziel soll sein: Wir wollen eine Protokoll-Datei um zu sehen, ob sich jemand unrechtmäßig unter falschen Usernamen und mit nicht-rechtmäßig-erworbenen Passwort an der Freigabe anmeldet und dort Dateien sieht, die nicht für ihn gedacht sind.

Dafür brauchen wir zB. die IP der Hosts, die auf die Datei zugreifen, da diese der User nicht ändern kann....

hannes214

Hat wohl niemand eine Idee, oder?

Schade...

ctec

ich würde das direkt am Server protokollieren lassen

oder ist die Freigabe auf einem Client OS ?

hannes214

Die Freigabe liegt auf einem Windows 2000 Server, allerdings kann man die Einträge im Ereignis-Protokoll unter Sicherheit (Überwachungsrichtlinien: aktiviert) nicht gerade als sehr übersichtlich bezeichnen....

Aktiviert man Objektzugriffsversuche, werden alle Dateizugriffe protokolliert, d.h. auch jeder Zugriff des Servers auf seine Daten und Dateien...

Aktiviert man Anmeldeereignisse, werden nur die Anmeldungen der Cliets-Hosts protokolliert, was so in etwa den Rückgabewerten von _Net_Share_ConnectionEnum entspricht....

Für all dies gibt es natürlich auch teuere Programme, die die Ereignis-Protokolle auswerten, allerdings suche ich halt nach einer etwas preis-günstigeren und übersichtlicheren Lösung!

ctec

na dann werte die Logs doch mit AutoIt aus

hannes214

:pinch: hmm... ich hab wohl noch nicht genug betont, wie sehr sehr sehr kompliziert diese Ereignisse der Überwachungsrichtlinien sind.....

hannes214

Na ich war dann mal kreativ und hab Kompromisse gemacht:

=> Zwar kann ich einer geöffneten Datei nicht den User zuordnen, allerdings kann ich ja alle User mit diesem Usernamen anzeigen lassen...

Folgendes ist dabei heraus gekommen:

Spoiler anzeigen

C

#include <GuiConstantsEx.au3>
#include <NetShare.au3>
#include <WindowsConstants.au3>
#include <Date.au3>
#include <File.au3>
Opt('MustDeclareVars', 1)
Global $iMemo
Local $hGUI, $sServer, $sShare, $aInfo, $aInfoF, $tempuser, $logfile, $gefunden, $aktJahr, $aktMon
$aktJahr = @YEAR
$aktMon = @MON
; Servervariablen
$sServer = "\\Server"
$sShare = "Freigabe"
 
HotKeySet("^+x","_exitproggy")
 
If FileExists("C:\Sharestatus") = False Then
    DirCreate("C:\Sharestatus")
EndIf
If FileExists("C:\Sharestatus\log.txt") = False Then
 _FileCreate ("C:\Sharestatus\log.txt")
EndIf
$logfile = FileOpen("C:\Sharestatus\log.txt", 1)
FileWriteLine($logfile, "=================================================================")
FileWriteLine($logfile, "= Zugriffsprotokoll auf: " & $sServer & "\" & $sShare & @TAB & @TAB & @TAB & @TAB & "=")
FileWriteLine($logfile, "= Datum/Uhrzeit...Ressource-ID...Datei-Pfad" & @TAB & @TAB & @TAB & "=")
FileWriteLine($logfile, "= " & @TAB & "Connection-ID...Username...Host...IP...Verbindungszeit" & @TAB & "=")
FileWriteLine($logfile, "=================================================================")
FileClose($logfile) 
While True
 $logfile = FileOpen("C:\Sharestatus\log.txt", 1)
 
 $gefunden = False
 
 ; Geöffnete Verzeichnisse auf dem Server ermitteln
 $aInfo = _Net_Share_FileEnum ($sServer) 
 $aInfoF = _Net_Share_ConnectionEnum ($sServer, $sShare) 
 For $iI = 1 To $aInfo[0][0]
  If StringLeft($aInfo[$iI][3],8) == "C:\Freigabe-Verzeichnis\"  Then 
   $gefunden = True
   $tempuser = $aInfo[$iI][4]
   FileWriteLine($logfile,_Now() & "  ID:" & $aInfo[$iI][0] & "  Pfad:" & $aInfo[$iI][3])
   For $jI = 1 To $aInfoF[0][0]
    IF StringStripWS(StringLower($aInfoF[$jI][5]),3) == StringStripWS(StringLower($tempuser),3) Then
     TCPStartup()
     FileWriteLine($logfile,@TAB & "ID:" & $aInfoF[$jI][0] & "  User:" & $aInfoF[$jI][5] & "  Host:" & $aInfoF[$jI][6] & "  IP:" & TCPNameToIP($aInfoF[$jI][6]) & "  Zeit:" & $aInfoF[$jI][4] & "s")    
    EndIf
   Next

  EndIf
 Next
 If $gefunden == True Then FileWriteLine($logfile,"")
 $gefunden = False
 
 FileClose($logfile) 
 
 ; Jeden Monat neue Log-Datei anlegen und alte archivieren
 If ( $aktMon <> @MON OR $aktJahr <> @YEAR ) Then
  FileCopy("C:\Sharestatus\log.txt", "C:\Sharestatus\"&$aktJahr&$aktMon&".txt", 1)
  FileDelete("C:\Sharestatus\log.txt")
  _FileCreate ("C:\Sharestatus\log.txt")
  $aktJahr = @YEAR
  $aktMon = @MON
 EndIf
 
 Sleep(60000) ; 60s bzw. 1min warten
WEnd
Func _exitproggy()
 Exit
EndFunc

Alles anzeigen

Micha_he

Ich habe mir das nun auch mal angesehen. Ein eindeutige Zuordnung konnte ich auch nicht finden. Aber ggf. werden nicht alle Rückgabeparameter der "NetAPI32.dll-NetFileEnum"-Funktion ausgenutzt.
Meiner Meinung nach, müsste doch die "geöffnete Datei" zu einer "Connection" zwischen dem Server und dem Arbeitsplatz gehören !

Aber leider kann ich da auch nicht weiterhelfen...

hannes214

Doch.. es werden alle Rückgabeparameter ausgenutzt bzw. die Windows-Funktion "NetFileEnum" aus der NetAPI32.dll liefert nicht mehr....

Das ganze hab ich mir schon genaustens im msdn - Microsoft Developer Network (http://msdn.microsoft.com/en-us/library/bb525378(VS.85).aspx) angeschaut...

Auf jeden fall ist die Benutzung von Windows-APIs in AutoIT so einfach wie noch nie... (wenn ich da an andere Programmiersprachen denke, wo man erst ewig Vaiablen für die Rückgabewerte definieren muss etc...)

ojo

Vielleicht ein anderer Weg:

Falls Windows Domäne:

Gffs. ist eine Lösung, das der User sich nur an einer def. Workstation anmelden darf ( Richtlinie Active Directory ).

Mitplotten der Anmeldung über Login Skript: echo %date% %time% %username% %computername% >> logdatei und dann Auswertung, ob sich ein User an mehreren Workstations angemeldet hat.

!! Achtung !! Das auswerten von Log Dateien, auch Deine über ein AutoIt Skript, ist aus Sicht des Betriebsrates / Personalrates mit Vorsicht zu geniessen.

hannes214

Wäre eine Lösung, wenn wir ne Domäne hätten, haben aber noch Novell 4.x ...

Na so wie es jetzt läuft, geht es ja erstmal...