Windows Server 2008 R2 文件复制审核

Windows Server 2008 R2 文件复制审核

我正在寻找一种方法,无论是本机的还是通过第三方工具,来监视文件从 Windows 2008 服务器共享复制到另一个目的地的时间。

我的环境是一个虚拟桌面基础架构,上面有一台带有 Windows 共享的 Windows 2008 R2 DC/File 服务器。VDI 上还有虚拟 Windows 7 计算机,用户通过网关到网关 VPN 隧道使用 RDP 登录这些计算机。所有文件都应该保留在 VDI 上,但我需要知道用户何时将文件从共享复制到另一台计算机(虚拟机之一,或者更重要的是,他们正在使用的本地计算机)。

答案1

首先启用适当的审计,然后解释事件日志。全部文件操作由多个低级别事件组成,并且这些低级别事件会被记录下来。

因此,复制不是单个事件,而是一系列事件,从打开文件开始,到关闭文件结束,对于源和目标都是如此。中间可以有任意数量的读取或写入,而且,为了让我们人类更难理解,它们之间可能散布着不相关的日志条目。

提取此类信息的唯一真正方法是使用能够使用状态检查读取日志的脚本或程序。需要注意的是,如果至少两个源都没有发生文件打开或文件关闭目标,则不会发生复制,尽管它可能表示复制尝试失败。

相关内容