我在 Windows Server 2008-R2 上设置了“审核对象访问”。然后我转到特定文件夹 properties/security/advanced/auditing 并为 Everyone 添加一个条目,并选中“创建文件/写入数据”项的成功和失败。
这一切都运行正常,在事件查看器/Windows 日志/安全中,我将看到事件 ID 4656,任务类别为“文件系统”,当我编辑该文件夹中的文件时,我将看到我的用户 ID 和“Notepad.exe”,作为测试。但是,我现在还看到数千个(实际上是几千个 - 每秒多达 50 个)其他事件,它们的事件 ID 相同,但任务类别为“其他对象访问”,详细信息包括“请求了对象的句柄”、对象服务器 =“PlugPlayManager”、进程 = Svchost.exe。在设置此审核之前,这些都不存在。
所以,我知道我可以通过某些东西过滤事件日志,但不能通过任务类别过滤,主要问题是我根本不关心那些其他事件——我只想跟踪谁编辑了文件,仅此而已。我不关心成千上万个(在我写这篇文章的时候,现在已经有几万个)其他事件。我如何才能停止那些“其他对象访问事件”和仅有的审计文件编辑?谢谢
答案1
好的,我本来要删除这个问题,但我想其他人可能也有同样的问题。我必须做的是进入本地安全策略的“高级审计策略配置”节点并执行以下两项操作:
转到“对象访问”并选择审计文件系统-->属性-->配置以下事件-->(检查成功和失败)。
在“对象访问”中,转到“审计句柄操作”-->“属性”。在这里我做了一些不同的事情——我选择了“配置以下事件”,但我也没有选中,我只是关闭了该框。然后它将状态从“未配置”(显然意味着“无论如何都要审计”)更改为“无审计”。
我希望这对某些人有帮助。我现在只看到我的文件编辑事件。(请注意,这是对设置审计对象访问的原始操作的补充,当然还包括转到文件夹本身、属性、高级等,并摆弄“审计”选项卡的设置)