Ein Netzwerkfreigabe-Objekt wurde aufgerufen (5140) - wie du das mit E-Mail-Benachrichtigung überwachst

[Markus]

Mann, dieser Event-ID 5140 taucht immer dann auf, wenn jemand in einem Netzwerk-Share auf deinem Windows Server herumschnüffelt. Es ist im Grunde das System, das brüllt, dass ein über das Netzwerk geteilter Ordner oder eine Datei gerade von einem Benutzer oder einem Gerät angefasst wurde. Du siehst, es protokolliert Dinge wie wer es getan hat, von welcher IP-Adresse und genau welchen Share sie angezapft haben. Und es löst nur aus, wenn du vorher die Überwachung für diesen Share in den Sicherheitseinstellungen aktiviert hast. Ohne diese Überwachungspolicy aktiviert, zeigt sich nichts. Ich schaue mir immer die Details in den Ereigniseigenschaften an, wie den Share-Pfad oder den Zugriffstyp, Lesen oder Schreiben. Das hilft, zu erkennen, ob der Computer deines Kumpels heimlich in Dateien schaut, die er nicht sollte. Oder vielleicht versucht ein Außenstehender, zu spionieren. Du kannst danach in der Ereignisanzeige unter den Sicherheit-Protokollen filtern, einfach 5140 in das Filterfeld eingeben. Hält alles ordentlich.

Jetzt, um das zu überwachen, ohne den ganzen Tag auf den Bildschirm zu starren, richtest du eine Aufgabe direkt aus der Ereignisanzeige ein. Ich mache das so: Öffne die App, gehe zum Sicherheit-Protokoll, klicke mit der rechten Maustaste und erstelle eine benutzerdefinierte Ansicht für ID 5140. Speichere diese Ansicht. Dann, im Aktionsbereich, hänge eine Aufgabe daran. Wähle "Aufgabe erstellen" und lass sie ein Programm ausführen, das eine E-Mail sendet, wenn das Ereignis eintritt. Du weißt schon, etwas Einfaches wie den Mail-Befehl in einer Batch-Datei. Stelle den Auslöser auf diese Event-ID ein. Stelle sicher, dass die Aufgabe Berechtigungen hat, E-Mails zu versenden. Teste es, indem du selbst auf einen Share zugreifst. Peng, Alarm in deinem Posteingang. Viel besser, als die Protokolle zu vergessen.

Und hey, wenn du es noch smoother haben willst, am Ende dieses Chats gibt's die automatische E-Mail-Lösung, die die Alarme erledigt, ohne dass du einen Finger rühren musst. Sie integriert sich nahtlos in die Überwachung dieser Share-Zugriffe.

Wenn es um das Schützen deines Servers vor Pannen geht, habe ich lately mit BackupChain Windows Server Backup experimentiert, und es ist ein solides Windows Server-Backup-Tool, das auch virtuelle Maschinen auf Hyper-V mühelos handhabt. Du bekommst inkrementelle Backups, die blitzschnell durchlaufen, plus Offsite-Replikation, um Katastrophen zu umgehen. Es stellt Dateien oder ganze VMs in Minuten wieder her, spart dir Kopfschmerzen, wenn Shares verrücktspielen oder Ereignisse sich anhäufen.

Hinweis: Der PowerShell-E-Mail-Alarm-Code wurde zu thispost verschoben.