我正在使用的应用程序意外地从文件夹中删除了一些数据文件。
在 Windows 7 中是否有可能提取该文件夹的某种日志,以查看文件何时被删除以及是什么命令删除了它们?
答案1
您需要在本地组策略和特定文件夹设置中配置一些设置。请按照以下步骤跟踪已删除的文件。它可以为您提供文件删除时的时间戳和删除文件的用户帐户等信息。
运行 > gpedit.msc > 计算机配置 --> Windows 设置 --> 安全设置 --> 本地策略 --> 审核策略 --> 审核对象访问 > 启用“成功”审核。现在打开命令提示符并运行“gpupdate /force”命令以使组策略设置生效。
本地 GPO 到位后,转到要监视的文件夹,右键单击并转到属性:单击安全选项卡 > 高级 > 审核选项卡 > 编辑 > 添加 > 然后添加有权访问该文件夹的组 > 选择“删除文件夹和子文件夹文件”和“删除”,然后单击确定 --> 选择替换所有现有的可继承审核条目,以对“所有子文件夹和文件”应用审核,然后单击确定
现在,删除一些测试文件并使用关键字“DELETE”过滤事件 ID 4660 和事件 ID 4663 将让您了解更多详细信息。
希望这可以帮助。