Dateisystem NTFS: Datentransfer-Aufzeichnungen/Log einsehen

#1 Speichert die Datenträgerverwaltung NTFS, welcher Datentransfer auf dem Datenträger stattfindet (ausschneiden, kopieren, einfügen, löschen, erstellen + Uhrzeit, usw.)?

Guten Tag,

Meine externe USB-Festplatte enthält eine Fülle an Daten. Ich möchte herausfinden bzw. nachvollziehen welcher Datentransfer in letzter Zeit stattgefunden habt.
Wann wurde welche Datenmenge an einen anderne Ort transferiert? Welche Transferoperation (Ausschneiden, Kopieren...) wurde durchgeführt?

Kann ich dazu mit bestimmten Tools/Utilities in die Master File Table (MFT) einsicht nehmen?
Werden dort überhaut diese, für mich relevanten, Daten aufgezeichnet?
Gibt es anderweitige Möglichkeiten mein Problem zu lösen?

Bin für jeden Vorschlag dankbar.

Beste Grüße

#2

Zitat

Kann ich dazu mit bestimmten Tools/Utilities in die Master File Table (MFT) einsicht nehmen?
Werden dort überhaut diese, für mich relevanten, Daten aufgezeichnet?

Da NTFS ein journaling FS ist, werden die sicherlich aufgezeichnet - wie lange die Aufzeichnung darin bleibt ist jedoch fraglich, eigentlich nur bis zum nächsten commit denn dann werden sie im Grunde nicht mehr gebraucht.
Aber wie genau das funktioniert ist ja Firmengeheimnis, es wird wohl nicht unbedingt Dokumentation darüber geben - bei diversen Dateisystemen gibt es low-level Tools um ins FS direkt eingreifen zu können, wohl nicht bei NTFS (zum Glück) jedenfalls nicht von Haus aus - vielleicht kann man ja über Microsoft was dazu bekommen oder runterladen, evntl. kann solche Software auch von Drittherstellern komm die entsprechende Gebühren für die Semantik an MS gezahlt haben.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Vielen Dank für ihre Antwort.

Könnten Sie vielleicht Namen oder evt. sogar Links dieser Tools angeben?

grüße

#4 Nunja das sollte man vielleicht lesen:

http://de.wikipedia.org/wiki/Journaling-Dateisystem

Ansonsten kann ich da wenig weiterhelfen, NTFS ist für mich recht uninteressant -
es gibt viele Dateisysteme die meisten sind weitaus leistungsfähiger und besser unterm Strich als NTFS.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5

Zitat

freakwertzui postete
....
Meine externe USB-Festplatte enthält eine Fülle an Daten. Ich möchte herausfinden bzw. nachvollziehen welcher Datentransfer in letzter Zeit stattgefunden habt.
Wann wurde welche Datenmenge an einen anderne Ort transferiert? Welche Transferoperation (Ausschneiden, Kopieren...) wurde durchgeführt?
....

Hab ich was verpasst?
Dachte immer USB ./. NTFS?

TS

#6

Zitat

Dachte immer USB ./. NTFS?

Ich kenne den ./. Operator nicht, erkläre was du meinst.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 ah sorry.

wollte damit ein "ungleich" ausdrücken...
also sozusagen

<>, != oder ~=

oder wie man das auch immer unter ASCII darstellt.

Aber zusammengefasst: ist eine externe USB nicht immer FAT bzw. FAT32 und nicht etwas NTFS?
Das war es wo ich draufhinaus wollte...

TS

#8

Zitat

<>, != oder ~=

Es ist !=

Zitat

oder wie man das auch immer unter ASCII darstellt.

das sind deine Buchstaben auch

Zitat

Aber zusammengefasst: ist eine externe USB nicht immer FAT bzw. FAT32 und nicht etwas NTFS?
Das war es wo ich draufhinaus wollte...

Das ist Datenträger unabhängig, große Ausnahme sind optische Medien (CD / DVD) die Aufgrund des nur-lesen kein journaling FS aufnehmen können.
Aber auch da gibt es exotische Dateisysteme.

Wenn man nicht gerade noch DOS Kompatibel sein muss empfiehlt sich FAT eigentlich gar nicht mehr, kleinere embedded Geräte u.a. MP3 Sticks haben das auch noch, vor allem ist FAT nicht das tatsächliche Eigentum von MS, es gibt sogar eine Richtlinie innerhalb der EU das FAT nicht weiter verfälscht werden darf.
Ich persönlich würde weder FAT noch NTFS nutzen, auch nicht für eine USB Festplatte
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Falls noch von Interesse bzw. der Vollständigkeit halber:

Zitat

Speichert die Datenträgerverwaltung NTFS, welcher Datentransfer auf dem Datenträger stattfindet?

Nein. Nicht in dem von dir gewünschten Sinne. Die MFT würde nach kurzer Zeit wegen der vielen Einträge "platzen"
und die Systemperformance wäre miserabel.

[Vollständiges Loggen sämtlicher Datei-Operationen]

Zitat

Kann ich dazu mit bestimmten Tools/Utilities in die Master File Table (MFT) einsicht nehmen?

Ja, auch im laufenden Betrieb. Forensische Software sowie gute Disk-Editoren erlauben das.
Aber auch dieser Fakt hilft dir nicht weiter, da in der MFT keine durchgeführten erweiterten Disk-Operationen
geloggt werden. Das, was in der MFT zu einem Directory oder einem einzelnen File zu erfahren ist, siehst du,
wenn du schlicht einen Rechtsklick auf das gewünschte Objekt tätigst und dann dessen "Eigenschaften" aufrufst.

Zitat

Werden dort überhaut diese, für mich relevanten, Daten aufgezeichnet?

s.o.

Zitat

Gibt es anderweitige Möglichkeiten mein Problem zu lösen?

Ja (es sei denn, du nutzt XP Home). Dazu aktivierst du mittels der "Lokalen Sicherheitsrichtlinien" unter "Überwachung-
richtlinie" den Eintrag "Objektzugriffsversuche überwachen". Diesen konfigurierst du nach deinen Vorstellungen.

Danach rechtsklickst du auf das gewünschte Objekt, bei dem die eben erstellte Richtlinie gelten soll.
Das kann eine einzelne Datei, ein Verzeichnis oder ein Laufwerk sein. Du rufst den Reiter "Sicherheit" auf, klickst auf
"Erweitert", wählst den Reiter "Überwachung", klickst "Hinzufügen", danach "Erweitert", dann "Jetzt suchen" und
wählst letztendlich die Gruppe (oder den Computer) aus, für die diese Richtlinie gelten soll.

Du findest ab sofort alle Einträge im Ereignisprotokoll unter "Sicherheit" vor. Das werden, je nach Konfiguration
der Objektzugriffsversuche und des Objekts, welches überwacht werden soll, (File, Verzeichnis, Laufwerk) Unmengen sein.

Ob du dir die spätere Auswertung des Mitschnitts tatsächlich antun möchtest, bleibt dir überlassen.


Gruß,

Sepia