Windows XP 中是否有任何日志机制来了解用户是否执行了特定的文件操作(创建/修改/删除)?
答案1
是的,你可以这样做,这就是所谓的审计。你可以审计成功和/或失败的尝试。要启用审计,你必须采取 2 个操作:
通过策略启用审核。您必须打开本地安全策略(或域上的策略)并转到本地策略 -> 审核策略 -> 审核对象访问. 检查成功或失败,或两者。
启用文件或文件夹的审核 现在审核已启用,您必须设置要审核的文件。 为此,右键单击要审核的文件或文件夹并选择属性。 转到安全选项卡并单击高级。 在这里,您必须选择要为哪些用户启用审核。 接下来,您必须检查要启用审核的操作。
您可以在安全事件日志中找到结果。