跟踪或审核文件复制

跟踪或审核文件复制

我所知道的关于编程的一切都告诉我这不是一项简单的任务,但是有没有办法跟踪是否有东西从计算机复制到外部驱动器?我在 Windows 7 中所能找到的只有“审核对象访问”,它似乎没有区分复制和读取(我理解复制基本上是读取操作和并行写入操作)。

那么我是否遗漏了什么,或者如果没有第三方软件是否就无法实现?

答案1

你没有错过任何东西。副本读操作。

答案2

我们之前曾就此问题进行过研究,开发了我们自己的文件服务器审计软件,但找不到任何方法来实现此功能。但我们的客户经常问这个问题。是的,因为复制在技术上是一种读取然后写入的操作,所以监控它的唯一方法是监控从源读取和写入目标,然后尝试将其关联起来。

答案3

一些防病毒应用程序会记录写入外部设备的文件。类似的方法可能是查看问题的更好方法。

答案4

如果将副本写入文件系统,而不是写入内存,则会有相应的事件日志条目。但是,您不能指望一个清晰的条目告诉您发生了什么。例如,就日志记录而言,删除实际上是三个单独的操作。我不确定复制将有多少个不同的操作,但我希望不少于六个。如果任何操作未记录,则复制操作可能未成功。我建议您在 Stack Overflow 上提问,因为这方面的编码方面有点超出了本网站的范围。

相关内容