我很好奇是否有可能审核 Windows Server 2012 上的文件共享以进行复制。如何根据发送到事件日志的事件区分复制文件和读取文件?复制文件在读取和写入方面是否有特定的模式?
谢谢您的帮助!
答案1
在共享级别,没有。这是因为共享没有系统 acl。但您可以在文件系统级别启用对共享文件夹的写访问审核。请参阅以下帮助文本以了解高级审核策略配置 > 对象访问:
文件系统
此策略设置允许你审核用户访问文件系统对象的尝试。仅针对指定了系统访问控制列表 (SACL) 的对象生成安全审核事件,并且仅当请求的访问类型(例如写入、读取或修改)和发出请求的帐户与 SACL 中的设置匹配时才会生成安全审核事件。有关启用对象访问审核的详细信息,请参阅http://go.microsoft.com/fwlink/?LinkId=122083。
如果配置此策略设置,则每次帐户访问具有匹配 SACL 的文件系统对象时都会生成审核事件。成功审核记录成功的尝试,失败审核记录不成功的尝试。如果未配置此策略设置,则每次帐户访问具有匹配 SACL 的文件系统对象时都不会生成审核事件。
注意:您可以使用该对象的“属性”对话框中的“安全”选项卡在文件系统对象上设置 SACL。
卷:取决于文件系统 SACL 的配置方式。