记录磁盘上的目录访问

Question 1

您还可以使用 Server 2008 上的内置访问审核组策略设置（http://technet.microsoft.com/en-us/library/dd772630(WS.10).aspx）。

在组策略编辑器中，转到计算机配置|Windows 设置|安全设置|高级审核策略 - 本地组策略对象|对象访问并启用审核文件系统事件（成功和失败）。

然后使用 Windows 资源管理器浏览到要监视的文件夹，属性 - 安全 - 高级 - 审核，并添加 Everyone \ Full 以监视所有访问。

任何尝试访问指定文件夹的行为都将导致如下安全事件日志消息：

An attempt was made to access an object.

Subject:
    Security ID:    YOURDOMAIN\USERID
    Account Name:   USERID
    Account Domain: YOURDOMAIN
    Logon ID:       0x5057c

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    C:\temp\share
    Handle ID:  0xbf8

Process Information:
    Process ID: 0x12fc
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   READ_CONTROL

    Access Mask:    0x20000

您可以通过将任务附加到事件查看器中的特定事件来实现自动发出警报，以便在事件发生时发送电子邮件、启动程序等。

Answer

您还可以使用 Server 2008 上的内置访问审核组策略设置（http://technet.microsoft.com/en-us/library/dd772630(WS.10).aspx）。

在组策略编辑器中，转到计算机配置|Windows 设置|安全设置|高级审核策略 - 本地组策略对象|对象访问并启用审核文件系统事件（成功和失败）。

然后使用 Windows 资源管理器浏览到要监视的文件夹，属性 - 安全 - 高级 - 审核，并添加 Everyone \ Full 以监视所有访问。

任何尝试访问指定文件夹的行为都将导致如下安全事件日志消息：

An attempt was made to access an object.

Subject:
    Security ID:    YOURDOMAIN\USERID
    Account Name:   USERID
    Account Domain: YOURDOMAIN
    Logon ID:       0x5057c

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    C:\temp\share
    Handle ID:  0xbf8

Process Information:
    Process ID: 0x12fc
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   READ_CONTROL

    Access Mask:    0x20000

您可以通过将任务附加到事件查看器中的特定事件来实现自动发出警报，以便在事件发生时发送电子邮件、启动程序等。

Question 2

SysInternals进程监控该工具能够记录所有磁盘访问。

不过，要从中获取任何有用的信息，您需要知道您在寻找什么。原始访问日志有点像消防水管。:)

Answer

SysInternals进程监控该工具能够记录所有磁盘访问。

不过，要从中获取任何有用的信息，您需要知道您在寻找什么。原始访问日志有点像消防水管。:)

记录磁盘上的目录访问

答案1

答案2

相关内容