W moim systemie Windows Server 2012 chcę wiedzieć, które pliki są usuwane z folderu, według którego użytkownika sieci. Chcę śledzić zdarzenia usuwania tylko dla określonego folderu. Zrobiłem to przy użyciu zasad grupy i przeglądarki zdarzeń, jak pokazano w tym linku
Ale w przeglądarce zdarzeń pokazuje wiele zdarzeń chronionych również dla dostępu do plików. Mogłem również pobrać zdarzenia usuwania o identyfikatorze 4660, ale nazwa pliku, który został usunięty, nie jest wymieniona w tym zdarzeniu i wymieniona jest tylko nazwa użytkownika. Jak mogę uzyskać nazwę pliku i nazwę użytkownika, który usunął plik?
1
Cześć, nie otrzymujesz identyfikatorów zdarzeń 4663, które zawierają więcej informacji?
—
CharlesH
@CharlesH ok. Tak od identyfikatora zdarzenia 4663 udało mi się uzyskać informacje. Ale inspekcja pokazuje wiele zdarzeń i sprawia, że plik Security.evtx jest duży. Czy mogę wykonać tylko wymagane zdarzenia, aby je zapisać, czy mogę tylko wybrane zdarzenia usunięcia, aby je zanotować?
—
Informatyk
jeśli wrócisz do folderu> kliknij prawym przyciskiem myszy> karta Zabezpieczenia> Zaawansowane> Audyt> Edytuj ... co jest zaznaczone w odpowiedniej grupie ... Jeśli zaznaczysz tylko usuń, otrzymasz tylko te dzienniki zdarzeń ... Zgodnie z ten zrzut ekranu ... pointdev.com/images/upload/IAlerter/AuditDossier_EN.JPG
—
CharlesH
@CharlesH Zrobiłem to samo. Ale jest za dużo 5145 wydarzeń. myślę, że mogą one wynikać z „dostępu do obiektu kontroli” ustawionego na „sukces”. Czy tak jest w tym linku eventtracker.com/newsletters/... wspominali o tym samym
—
badacz IT
Tak, bardziej niż prawdopodobne, pomyślałem, że możesz upuścić wszystkie z nich, z wyjątkiem tego, że usunięcie nie jest prawdą?
—
CharlesH