WatchDirectory home page
WatchDirectory Startseite (Deutsche Version)
Site WatchDirectory (Français)
  Welcome, Guest. Please Login or Register
YaBB - Yet another Bulletin Board
   
  HomeHelpSearchLoginRegister  
 
Page Index Toggle Pages: 1
unable to audit (Read 5029 times)
darko
YaBB Newbies
*
Offline



Posts: 4
unable to audit
Jun 7th, 2006 at 2:40pm
 
Hi all,

Looking for a way to monitor and log the things that go on a network share I found watchdirectory.
Now I configured everything and the program is able to "see" activity on the share, but when looking in the history viewer it always says: no auditing info found for file/directory.

I specified the auditing settings for the specific folder and I also edited the global policy setting to define the audit object access. When something happens on the folder the entries are indeed logged in the security log on the server. Somehow the program is unable to read these entries?
Also, there is no auditing report saved in the therefore specified folder.

Anybody know what the problem could be? Perhaps I'm missing something?

Thanks in advance!
Back to top
 
 
IP Logged
 
Gert
YaBB Administrator
*****
Offline



Posts: 2238
The Netherlands
Re: unable to audit
Reply #1 - Jun 8th, 2006 at 6:30am
 
If you start the Windows Event Viewer (security log) on the monitored computer, do you see the events?
Especially look for the event id's "560", which watchDirectory uses to identify the files. Do the filenames for that event look like C:\dir\subdir\file.txt or like \\disk0\drive1\dir\subdir\file.txt?
At the moment WD only supports the C:\dir\subdir\file.txt naming.

Gert
Back to top
 

Gert Rijs - gert (at) gdpsoftware (dot) com
Blog: http://blog-en.gdpsoftware.com/
End Alzheimer's: http://www.alz.org&&...
WWW WWW GdPSoftware  
IP Logged
 
darko
YaBB Newbies
*
Offline



Posts: 4
Re: unable to audit
Reply #2 - Jun 8th, 2006 at 8:51am
 
Hi Gert,

Yes the filenames look like this: C:\dir\subdir\file.txt. And have ID 560 indeed. So I'm assuming all the information is there? Any other things to check?

Regards

Back to top
 
 
IP Logged
 
Gert
YaBB Administrator
*****
Offline



Posts: 2238
The Netherlands
Re: unable to audit
Reply #3 - Jun 9th, 2006 at 5:20am
 
Can you send me a screenshot of the of the event-view showing a filename that is deleted (clearly showing the filename). Please also send me your task configuration file:

<task directory>\<yourtaskname>.config

<task directory>: press CTRL+9 inside the watchDirectory Control Center to explore this directory
<yourtaskname>: the name of your task

Please send it to my email (gert+watchdirectory.net - replace + with @).

Gert
Back to top
 

Gert Rijs - gert (at) gdpsoftware (dot) com
Blog: http://blog-en.gdpsoftware.com/
End Alzheimer's: http://www.alz.org&&...
WWW WWW GdPSoftware  
IP Logged
 
darko
YaBB Newbies
*
Offline



Posts: 4
Re: unable to audit
Reply #4 - Jun 15th, 2006 at 11:49am
 
Hoi Gert,

Ik post dit maar even in dezelfde topic, want hierin staat ook mijn situatie beschreven.
Even iets anders,

Bij de audit van de directory worden dus events aangemaakt met event types zoals new files en deleted etc. Als er een file gedelete word door een user bijvoorbeeld genaamd: don. Dan kan ik dus zien dat het bestand door deze user is gedelete. Doe ik nu met dezelfde user een nieuw bestand maken en ik gaan dan kijken wie hem gemaakt heeft, dan geeft watchdirectory de user "beheerder" aan. Deze user geeft hij iedere keer aan als een event van het type "new file" is.

Ik wil uiteraard kunnen zien dat user "don" bij het aanmaken van de file gezien kan worden, zodat ik kan achterhalen wie de file heeft aangemaakt.

Enig idee waar dit aan ligt?

Groeten,

Roger
Back to top
 
 
IP Logged
 
Gert
YaBB Administrator
*****
Offline



Posts: 2238
The Netherlands
Re: unable to audit
Reply #5 - Jun 15th, 2006 at 10:38pm
 
Roger,

De auditing plugin is origineel niet bedoeld om ook deze events af te vangen, maar verschillende klanten hebben er succes mee door de wait for files to be available optie uit te schakelen. De beheerder (administrator) user is waarschijnlijk het account waar WD zelf onder draait (wdrun.exe), die controleert of het bestand reeds "gereed" is.

Gert
Back to top
 

Gert Rijs - gert (at) gdpsoftware (dot) com
Blog: http://blog-en.gdpsoftware.com/
End Alzheimer's: http://www.alz.org&&...
WWW WWW GdPSoftware  
IP Logged
 
darko
YaBB Newbies
*
Offline



Posts: 4
Re: unable to audit
Reply #6 - Jun 16th, 2006 at 8:59am
 
Hoi Gert,

Na het uitvinken lijkt hij wel die user te loggen die de nieuwe file maakt. Ook al is dit niet helemaal de bedoeling van deze plugin, het is wel die informatie waarvoor wij het programma willen gebruiken.

Bedankt,

Roger
Back to top
 
 
IP Logged
 
Gert
YaBB Administrator
*****
Offline



Posts: 2238
The Netherlands
Re: unable to audit
Reply #7 - Jun 17th, 2006 at 7:57am
 
Zoals eerder via email al gezegd: er komt een nieuwe versie die het e.e.a. beter zal ondersteunen, ik zal er ook speciaal op letten dat hij ook goed voor nieuwe en gewijzigde bestanden zal werken, en dat het truukje met "wait for files" niet meer nodig is.

Gert
Back to top
 

Gert Rijs - gert (at) gdpsoftware (dot) com
Blog: http://blog-en.gdpsoftware.com/
End Alzheimer's: http://www.alz.org&&...
WWW WWW GdPSoftware  
IP Logged
 
Page Index Toggle Pages: 1