我已经通过 C: > 安全 > 高级 > 审核为网络驱动器上的所有用户设置了审核。
在计算机管理 > 共享文件夹中
我只能看到当前用户访问计算机的实时流。
但是,我该如何保存该事件的历史记录呢?
谢谢
答案1
如果您在策略编辑器中的“审核策略”下启用了“审核对象访问”策略,则应该在事件查看器中获取信息。
通过右键单击“属性”、“安全”选项卡、“高级”、“审核”选项卡来配置特定文件或文件夹的审核,您可以在其中指定用户和组的审核。
可以使用事件查看器查看该事件,网址为 Windows 日志 > 安全。
您想要的事件是 5140:已访问网络共享对象,可能看起来类似于:
