dateizugriffs-audit und ereignisgesteuerter task

hallo.

(ich hoffe, es passt hier rein)

ich wollte gerade ein bisschen austesten, wie ich dateizugriffe
überwachen und dann ereignisgesteuert dazu einen task ausführen lassen
kann - theoretisch klappt es auch, aber eben nicht ganz.

in den gruppenrichtlinien für den lokalen computer die
audit-einstellungen auf erfolg und fehler angehakt, gruppenrichtlinie
per gpupdate aktualisiert und für einen ordner testweise auditing
eingestellt. in der ereignisanzeige taucht das auch alles brav auf.
mich interessierte dann davon event 4663 für nen dateizugriff, damit
ich damit einen task automatisch starten kann.

also in den taskplaner und bei auftreten des events 4663 aus dem
security log soll zunächst mal eine nachricht angezeigt werden - die
bekomme ich aber nirgends zu gesicht. die historie des tasks zeigt mir
folgendes an:

Task Scheduler successfully completed task "\dateizugriff" , instance
"{3e40cbf8-bd96-47ad-a513-7d9c07014a70}" , action
"DATEIZUGRIFFSWARNUNG" with return code 1.

- <Event
xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-TaskScheduler"
Guid="{de7b24ea-73c8-4a09-985d-5bdadcfa9017}" />
<EventID>201</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>201</Task>
<Opcode>2</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2010-02-17T19:31:12.016Z" />
<EventRecordID>197318</EventRecordID>
<Correlation ActivityID="{3E40CBF8-BD96-47AD-A513-7D9C07014A70}" />
<Execution ProcessID="4628" ThreadID="5564" />
<Channel>Microsoft-Windows-TaskScheduler/Operational</Channel>
<Computer>MasselMobil</Computer>
<Security UserID="S-1-5-21-3283661701-2377848488-2925541090-1000" />
</System>
- <EventData Name="ActionSuccess">
<Data Name="TaskName">\dateizugriff</Data>
<Data
Name="TaskInstanceId">{3E40CBF8-BD96-47AD-A513-7D9C07014A70}</Data>
<Data Name="ActionName">DATEIZUGRIFFSWARNUNG</Data>
<Data Name="ResultCode">1</Data>
</EventData>
</Event>

also erfolgreich ausgeführt wurde der task, aber es tauchte nirgends
ein nachrichtenfenster auf. jemand eine idee, woran das liegen könnte?
(oder falls es hier falsch ist, wo der richtige platz dafür ist )

gruß,

marcel

Hallo,

auch wenn es die Option "Nachricht anzeigen" gibt, so ist diese Funktion
kaum zu gebrauchen, da der Nutzer die Meldung in den meisten Fällen nicht
zu Gesicht bekommt (sie ist "verdeckt") - das geschieht aber nicht
grundlos.

Lösung:
Erstelle dir eine Textdatei mit deiner Nachricht und lasse durch die Task
diese Textdatei öffnen.


--
Grüße
Thomas

On Thu, 18 Feb 2010 10:27:16 +0100, "Thomas D."
<dnr@discussions.microsoft.com> wrote:

>auch wenn es die Option "Nachricht anzeigen" gibt, so ist diese Funktion
>kaum zu gebrauchen, da der Nutzer die Meldung in den meisten Fällen nicht
>zu Gesicht bekommt (sie ist "verdeckt") - das geschieht aber nicht
>grundlos.

ich hab's ja fast geahnt..

>Lösung:
>Erstelle dir eine Textdatei mit deiner Nachricht und lasse durch die Task
>diese Textdatei öffnen.

das ging mir auch schon durch den kopf als ersatz.

danke auf jeden fall für de antwort