资源监视器很好。它列出了访问过的资源以及访问者。但它是实时的,我无法收集一段时间内的数据。
另一方面,性能监视器提供了这种方法,但没有访问细节。
有没有什么办法可以获取磁盘访问日志(有访问过的资源和对应的进程)?如果该工具是win10自带的就更好了。
答案1
Process Monitor 可以创建所有磁盘访问事件的持久日志,其中包含有关访问类型和路径、所涉及的进程、进程的用户凭据等详细信息。
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
答案2
您可以使用事件查看器查看谁最后访问了文件以及可能的其他资源
https://smallbusiness.chron.com/see-accessed-file-last-network-66995.html
您必须首先打开审核并收集这些信息,然后获取事件查看器过滤器来提取信息
引自上述文章
- 按“Windows-Q”,在搜索字段中输入“secpol.msc”,然后按“Enter”打开本地安全策略。
- 展开“安全设置”和“本地策略”,然后单击“审核策略”文件夹。
- 双击右侧窗格中的“审核对象访问”,打开审核对象访问属性对话框。
- 勾选“定义这些策略设置”,勾选“成功”,然后单击“确定”即可监控文件访问。
- 按“Windows-E”打开文件资源管理器,导航到相应的文件夹,右键单击目标文件并从上下文菜单中选择“属性”,然后单击“安全”。
- 单击“高级”按钮,单击“审核”选项卡,然后单击“继续。”单击“添加”按钮,然后单击“选择主体”链接。
- 在可用字段中输入用户或组的名称,单击“检查名称”,然后单击“确定”。
- 从“类型”下拉菜单中选择“成功”,为用户或组选择适当的权限,然后单击“确定”。