我们刚刚发生了一起事件,服务器上的一些随机文件被删除了。我现在已经设置了审核,但由于我只是一名开发人员,所以我想确保我做对了:
- 在文件夹安全选项卡中,单击高级/审核
- 输入用户“Everyone”
- 勾选“删除”和“删除子文件夹和文件”
这些文件几乎永远不会被删除,所以我希望这次审核不会对该文件服务器的性能产生影响。
这些审计 - 它们应该在 eventvwr/Security 中,对吗?
如果问题太简单我很抱歉,但我绝对必须回答正确...
答案1
发现!,http://technet.microsoft.com/en-us/library/cc784387%28WS.10%29.aspx
您只需要指定是否要审核成功删除、删除失败或两者。两者都会显示大量事件日志,但有助于追踪恶意用户或有缺陷的实用程序。
请注意:在设置文件和文件夹审核之前,您必须通过定义对象访问事件类别的审核策略设置来启用对象访问审核如果不启用对象访问审核,则在设置文件和文件夹审核时会收到错误消息,并且不会审核任何文件或文件夹。