ComputerBase Menü
Aktuelles

Windows logdatei

Katusch

Katusch

Lieutenant
Registriert
Okt. 2007
Beiträge
1.003
Hallo, gibt es bei win 10 eine logdatei wo man sehen kann welche Dateien vor Kurzem gelöscht wurden?

Meine Feundin hat einfach mal Dateien von mir gelöscht und den Papierkorb geleert um Platz zu machen weil die Festplatte voll war aber Sie weiss nicht mehr was das war.
*facepalm*
 
  • Gefällt mir
Reaktionen: cartridge_case
Nein. Das muesste erst extra aktivert werden.

Warum spielst Du die Dateien nicht einfach aus dem Backup zurueck, oder schausst in den Schattenkopien?

BFF
 
Wüßte nicht, daß es eine Logdatei dafür gibt. Letztendlich kannst du hoffen, daß diese Dateien noch nicht wieder überschrieben wurden und mit einem Wiederherstellungstool gerettet werden können.
z. B.: https://www.ccleaner.com/recuva
 
M.W. nach: Nein.
CN8
 
@phil.
Fuer das Ueberwachen von Computern oder Verzeichnissen muss man lokale Richtlinien einstellen bzw. an die Ueberwachungseinstellungen der Verzeichnisse ran. Dann landen die Ueberwachungsergebnisse im Ereignisprotokoll.

Ein Beispiel wo das recht gut erklaert wird ist hier. Allerdings sind die Bilder recht alt. Die Einstellungen selbst finden sich auch im W10 Pro.

https://de.watchdirectory.net/wdhelp/plugins/wdopAuditInfoConf_deu.html#enaudc

Schoenes RestWE!
BFF
 
  • Gefällt mir
Reaktionen: Terrier und phil.
Alternative könntest Du ein Undelete probieren.

Katusch schrieb:
Meine Feundin hat einfach mal Dateien von mir gelöscht und den Papierkorb geleert um Platz zu machen weil die Festplatte voll war aber Sie weiss nicht mehr was das war.
Zum Vergrößern anklicken....
Sie hat Deine Pornosammlung gelöscht. Aus Eifersucht. Wenn sie Dir weismachen will das sie nicht weiß, was sie gelöscht hat glaub ihr kein Wort! :-)
 
  • Gefällt mir
Reaktionen: Micha45 und BFF
Was is ein undelete?
 
Vermutlich spielt er auf das damalige UNDELETE von MS-DOS oder DR-DOS an.

MS-DOS
1548546923981.png

DR-DOS
1548546909158.png


Wenn nicht, gib einfach "undelete" in einer Suchmaschine Deiner Wahl ein.

BFF
 
Meine Frau nimmt mir immer Geld aus dem Portemonnaie, ohne mir was zu sagen und ich stehe dann im Supermarkt an der Kasse wie ein begossener Pudel. Wir Männer haben halt alle unser Päckchen zu tragen. :-)

Meiner Erfahrung nach kann man Recuva o.ä. Tools vergessen. Eine Wiederherstellung von gelöschten Daten funktioniert nur mit professioneller Software, die allerdings für die meisten, aufgrund der hohen Kosten, nicht rentabel ist. Undelete funktioniert leider auch nicht.

Entweder, es ist ein Backup vorhanden, mit dem man das System zurückspielen kann (das wäre der Idealfall), oder man wendet sich, falls vorhanden, an einen Laden, der sich auf das Wiederherstellen von verlorenen Daten spezialisiert hat.
Das kostet aber natürlich auch. Kommt halt drauf an, wie wichtig einem die Daten sind, die da ins Nirvana gegangen sind.
 
@Micha45: Recuva, PhotoRec und die anderen Programme funktionieren nach meiner Erfahrung sehr gut, sofern die Dateien noch nicht überschrieben wurden. Jeder (Schreib)zugriff auf den betroffenen Datenträger mindert die Chance.

Wenn die Dateien auf einer SSD liegen, ist in 99% der Fälle bereits nach wenigen Sekunden nichts mehr möglich, da TRIM die Flashzellen genullt hat.
 
  • Gefällt mir
Reaktionen: Micha45 und areiland
@Smurfy1982
Das stimmt. Die Chancen, auf einer HDD gelöschte Daten wiederherzustellen, sind weitaus höher als auf einer SSD. Das Problem ist aber generell, dass auf dem System ständig Schreibzugriffe, vornehmlich vom System selbst, stattfinden und somit die Wahrscheinlichkeit, alle Daten vollständig wiederzubekommen, sehr gering ist.
Mit Recuva o.ä. ist es sicher möglich, zumindest einen Teil wiederherzustellen. Wenn man nach dem Löschvorgang keine Zeit verliert. Das ist aber keine befriedigende Lösung.
Ich hatte es letzens erst versucht, als bei mir plötzlich ganze Verzeichnisse durch einen Systemfehler gelöscht wurden und konnte nur einen Bruchteil der Daten wiederherstellen lassen. Und dieser Bruchteil war auch nicht mehr zu gebrauchen, weil diese zurückgeholten Daten zum größten Teil nur noch aus Dateifragmenten bestand.
 
  • Gefällt mir
Reaktionen: areiland und Smurfy1982
@Micha45: Meine Zustimmung ;) Wir wissen hier bis jetzt nicht, ob die Dateien auf dem Systemlaufwerk oder einer Datenplatte lagen. Und ob HDD oder SSD...

Davon hängt es jetzt ab, wie hoch die Chancen für eine erfolgreiche Wiederherstellung sind :)
 
Micha45 schrieb:
Das Problem ist aber generell, dass auf dem System ständig Schreibzugriffe, vornehmlich vom System selbst, stattfinden und somit die Wahrscheinlichkeit, alle Daten vollständig wiederzubekommen, sehr gering ist.
Zum Vergrößern anklicken....
Exakt. Bei nem undelete-Versuch darf man nicht zu lange warten. Am besten sofort alle Schreibzugriffe einstellen.
Wenn man sein Festplattenspeicher noch sinnvoll in Volumes unterteilt hat, bestehen dann noch relativ gute Chancen.

Ein Backup ist natürlich immer vorzuziehen. Wenn keines vorliegt oder zu alt ist (und Backups sind eigentlich immer zu alt :-)), dann kann man es aber wenigstens versuchen. Man verliert ja nix beim Versuch. Man kann nur gewinnen.
Ergänzung ()

Micha45 schrieb:
Meiner Erfahrung nach kann man Recuva o.ä. Tools vergessen.
Zum Vergrößern anklicken....
Besonders lustig wird es, wenn die Leute dann erst mal noch Recuva runterladen und installieren und so mit schön weiter Schreibzugriffe auf die Platte produzieren. :-)
 
  • Gefällt mir
Reaktionen: areiland
Is ne HDD. Und ein backup hab ich auch. Aber is mir zu aufwändig, denn wichtig können die Dateien nich gewesen sein. Wollte nur wissen was es war das sie gelöscht hat wenn es auf die Schnelle möglich gewesen wäre. Danke euch.
 
  • Gefällt mir
Reaktionen: Terrier
Wie hast Du das Backup erstellt? Einfach rüberkopiert? Dann Verzeichnisses vergleichen, z.B. mit WinMerge
 
Hi,

areiland schrieb:
Die Überwachung der Objektzugriffe ist aber wohl nur in Verbindung mit einer Domäne möglich.
Zum Vergrößern anklicken....

Nein. Das Ganze laesst sich sehr wohl lokal auf einer Maschine ohne Domaenenmitgliedschaft realisieren.
Mit einem W10 Pro hast Du Gpedit und kannst die Objektueberwachung in den lokalen Richtlinien einstellen. Der Rest ist Datei-Explorer und Ereignisanzeige. Wenn alles richtig gemacht, hat man am Ende im Eventlog Eintraege wie diesen. Da habe ich in einem zu ueberwachenden Ordner die Datei "bbb.txt" geloescht.

2019-01-27 10_12_44-W10 Pro DE - VMware Workstation.jpg


Zugegeben. Das Lesen des Ereignisprotokolles beim Loeschen von 1000 Dateien in 10 Ordnern ist schlichtweg grausam. Deswegen ueberwachen wir z.B. mit WatchDirectory. Das "ueberrsetzt" das fuer uns in "menschlich lesbar". :D

BFF
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: cartridge_case und areiland
@BFF
Ok, das kann man dann ja auf die wesentlichen Informationen gefiltert aus der Ereignisanzeige lesen. Muss ich mir mal genauer ansehen.
 
@areiland
Das Filtern ist eine Notwendigkeit. Und das Vergroessern des Logfiles. :D

Schau Dir auch mal das Tool "Lauschangriff" von SoftwareOK an.

BFF
 
  • Gefällt mir
Reaktionen: areiland
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Xiaolong
  • Gelöst
Script erstellt keine Logdatei trotz Berechtigung
Antworten
10
Aufrufe
532
Donnerkind
Donnerkind
T
Beim Windows-Login wird meine E-Mail-Adresse nicht gefunden.
2
Antworten
22
Aufrufe
1.548
PonJoe58
PonJoe58
violentviper
Windows Login mit Hardwaretoken + Passwort
Antworten
7
Aufrufe
943
wambo12
wambo12
A
Windows 10 Vorbereitung läuft
Antworten
18
Aufrufe
739
eYc
eYc
raidenone
  • Frage Frage
Keine Updates über Windows Update obwohl für ESU registriert?
2
Antworten
34
Aufrufe
2.622
DenB
D

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz