有没有办法监控 SBS 2011(Windows Server 2008 R2)中目录及其文件的所有读写操作?
答案1
您还可以使用 Server 2008 上的内置访问审核组策略设置(http://technet.microsoft.com/en-us/library/dd772630(WS.10).aspx)。
在组策略编辑器中,转到计算机配置|Windows 设置|安全设置|高级审核策略 - 本地组策略对象|对象访问并启用审核文件系统事件(成功和失败)。
然后使用 Windows 资源管理器浏览到要监视的文件夹,属性 - 安全 - 高级 - 审核,并添加 Everyone \ Full 以监视所有访问。
任何尝试访问指定文件夹的行为都将导致如下安全事件日志消息:
An attempt was made to access an object.
Subject:
Security ID: YOURDOMAIN\USERID
Account Name: USERID
Account Domain: YOURDOMAIN
Logon ID: 0x5057c
Object:
Object Server: Security
Object Type: File
Object Name: C:\temp\share
Handle ID: 0xbf8
Process Information:
Process ID: 0x12fc
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: READ_CONTROL
Access Mask: 0x20000
您可以通过将任务附加到事件查看器中的特定事件来实现自动发出警报,以便在事件发生时发送电子邮件、启动程序等。
答案2
SysInternals进程监控该工具能够记录所有磁盘访问。
不过,要从中获取任何有用的信息,您需要知道您在寻找什么。原始访问日志有点像消防水管。:)