每天我都会无数次地感觉到我意外地在文件资源管理器中创建了一个快捷方式,或者我意外地复制或移动了一个目录/文件。
我一直在寻找“历史记录框”,但后来想起 Windows 10 不是 Adobe Photoshop。是否有某种内置功能可以让我清楚地看到这种特定类型的最后几个“事件”?这样我就可以验证我没有进行任何错误的意外文件操作?
(请不要告诉我“事件查看器”,因为我一生中从来没有能够从那个东西中提取任何有用的信息!)
如果 Windows 确实能以允许我提取数据以供我自己的脚本进一步处理的方式跟踪这一点,那也很好。比如,也许他们允许我做类似的事情:
eventviewer.exe --extract-latest-file-operation-events --format=JSON --output="C:\test\log.json" --limit=100
那太好了。
答案1
这称为审计,但专为业务系统而设计,并以技术格式显示对文件系统所做更改的日志,而不是易于阅读的列表:https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder
您可以通过设置权限类型来在安全日志中记录成功的访问尝试或失败的访问尝试,将审核策略应用于计算机上的单个文件和文件夹。
要完成此过程,您必须以内置管理员组成员的身份登录或拥有管理审核和安全日志的权限。
要应用或修改本地文件或文件夹的审核策略设置,请选择并按住(或右键单击)要审核的文件或文件夹,选择“属性”,然后选择“安全”选项卡。
选择“高级”。
在“高级安全设置”对话框中,选择“审核”选项卡,然后选择“继续”。
执行以下操作之一:
要为新用户或组设置审核,请选择“添加”。选择“选择主体”,键入所需用户或组的名称,然后选择“确定”。
要删除现有组或用户的审核,请选择组或用户名,选择“删除”,选择“确定”,然后跳过此过程的其余部分。要查看或更改现有组或用户的审核,请选择其名称,然后选择“编辑”。在“类型”框中,通过选中相应的复选框来指示要审核的操作:
要审核成功事件,请选择“成功”。
要审核失败事件,请选择失败。
要审核所有事件,请选择全部。在“应用于”框中,选择要应用事件审核的对象。这些包括:
仅限此文件夹 此文件夹、子文件夹和文件 此文件夹和子文件夹 此文件夹和文件 仅限子文件夹和文件 仅限子文件夹 仅限文件 默认情况下,选择要审核的基本权限如下:
读取和执行列出文件夹内容读取此外,通过您选择的审核组合,您可以选择以下权限的任意组合:完全控制修改写入
*抱歉格式化了。我正在手机上粘贴。我会尝试稍后清理干净。*