Windows 存取檔案記錄
1.在File Server執行gpedit.msc -> 電腦設定 -> Windows 設定 -> 安全性設定 -> 本機原則 -> 稽核原則 -> 啟動"稽核物件存取"
2.在你要監控的資料夾上面點右鍵 -> 內容 -> 安全性 -> 進階 -> 稽核 , 在此加入你要稽核的帳號,勾選"讀取屬性"
3.稽核標籤底下有個"以顯示於此套用到子物件...."的選項要打勾
4.只要該User有去讀取資料夾裡面的檔案時..就會出現類似下面的事件紀錄 (在事件檢視器 -> 安全性裡面)
PS:由於安全性的紀錄會很多筆..你可以透過篩選的方式篩選"事件來源" & "物件存取" & "事件識別碼" 來縮小範圍
--------------------------------------------------------------
事件類型: 稽核成功
事件來源: Security
事件類別目錄: 物件存取
事件識別碼: 560
日期: 2009/9/8
時間: 上午 10:36:53
使用者: DFS\administrator
電腦: DFS2003-3
描述:
物件開啟:
物件伺服器: Security
物件類型: File
物件名稱: C:\123\新增WordPad 文件.doc 處理識別碼: 1824
操作識別碼: {0,742338}
程序識別碼: 3384
影像檔案名稱: C:\WINDOWS\explorer.exe
主要使用者名稱: administrator
主網域: DFS
主要登入識別碼: (0x0,0x33ADB)
------------------------------------------
2.在你要監控的資料夾上面點右鍵 -> 內容 -> 安全性 -> 進階 -> 稽核 , 在此加入你要稽核的帳號,勾選"讀取屬性"
3.稽核標籤底下有個"以顯示於此套用到子物件...."的選項要打勾
4.只要該User有去讀取資料夾裡面的檔案時..就會出現類似下面的事件紀錄 (在事件檢視器 -> 安全性裡面)
PS:由於安全性的紀錄會很多筆..你可以透過篩選的方式篩選"事件來源" & "物件存取" & "事件識別碼" 來縮小範圍
--------------------------------------------------------------
事件類型: 稽核成功
事件來源: Security
事件類別目錄: 物件存取
事件識別碼: 560
日期: 2009/9/8
時間: 上午 10:36:53
使用者: DFS\administrator
電腦: DFS2003-3
描述:
物件開啟:
物件伺服器: Security
物件類型: File
物件名稱: C:\123\新增WordPad 文件.doc 處理識別碼: 1824
操作識別碼: {0,742338}
程序識別碼: 3384
影像檔案名稱: C:\WINDOWS\explorer.exe
主要使用者名稱: administrator
主網域: DFS
主要登入識別碼: (0x0,0x33ADB)
------------------------------------------
留言
張貼留言