我正在寻找一种方法来排除特定文件类型的记录,使其不被记录在安全审核中。我有一个文件夹正在审核删除事件,并且大多数记录的事件都是 .tmp 文件(例如,应用程序关闭时会自动删除的临时 Word 文件),而我并不关心这些文件。
有人知道如何排除这些类型的文件被记录吗?
提前感谢任何评论。
答案1
我认为这是不可能的。为了解决这些问题,并更容易生成可读的报告,我使用 Perl 读取事件日志并将感兴趣的事件存储在数据库中,在我的例子中是 MySQL。然后我使用 Access 作为前端,因为它可以毫不费力地生成漂亮的报告。
最难的是将构成单个操作(例如删除)的各种事件联系在一起,请记住,在许多情况下,中间可能会记录其他事件。实际上,您需要创建一个有状态的过滤器。