在 Windows Server 2003 上,有没有办法查看文件是否被删除以及何时被删除?
这是带有 IIS 的 Web 服务器,我们的 Web 应用程序允许用户将 Word 文档加载到服务器中。但是,我们发现一个 Word 文件丢失了,想知道它是被删除了还是根本不存在(Web 应用程序无法加载它)。
编辑:
我尝试遵循这一点:
启用要跟踪的文件夹的审核。只需右键单击文件夹,转到“共享和安全”,然后转到“安全”选项卡,单击底部的“高级”。选择审核选项卡,单击添加,选择要跟踪的组或用户,然后选择要跟踪的操作。
要跟踪文件删除情况,您需要启用:
创建文件/写入数据 成功/失败 创建文件夹/附加数据 成功/失败 删除子文件夹/文件 成功/失败 删除成功/失败
这个从现在开始适用,过去的行为将无法追踪?
答案1
在 Windows Server 2003 上,有没有办法查看文件是否被删除以及何时被删除?
通常,这类问题可以通过查看备份历史记录来回答。如果您启用了卷影副本,并且这些副本可以追溯到足够久远的时期,那么它们可以起到相同的作用。
除此之外,您可以通过查看目录修改时间来了解目录内容是否发生了更改。
如果你怀疑这是最近发生的更改,并且没有其他可用的方法,请考虑使用 NTFS 日志查看器实用程序(甚至有开源/免费的实用程序,例如这里) 检查 NTFS 日志的内容。如果删除操作尚未被日志覆盖覆盖,您会在其中找到它(尽管不是删除操作安全上下文的用户名)。
启用审核
这将产生吨使用 Windows Server 提供的默认工具集无法轻松读取/搜索日志。除非您拥有某种提供必要功能集的事件日志收集/审计系统,否则我不建议使用它。
答案2
通常,当人们加载文件时,他们会检查以确保他们可以看到它。因此,请检查您的服务器日志,看看它是否曾被访问过。如果曾被访问过,您就有证据表明它曾经存在过。
至于删除,您的记录有多好?您有任何保留政策吗?