我有一个安装了文件服务器角色(FSRM、DFS 命名空间、DFSR)的 Windows Server 2012 R2 机箱。DFS 命名空间中的一个文件夹在过去两天内大小大幅增加。该文件夹有许多子文件夹等等。我想检查那里发生了什么,有哪些新文件,也许还有谁在那里添加了文件。我可以将审核设置设置为文件夹中的每个人,但它会在安全日志中吐出太多信息,我认为这不太实用。我实际上没有安装任何第三方工具。有没有更简单的方法来收集此类信息?也许是一个获取最后写入文件的 Powershell 脚本?
答案1
安全事件日志和审核对象访问是“受支持”的实现方式,无需添加第三方软件。没有内置功能,否则,这将满足您的要求。
按日期搜索文件并不是一个坏主意(你可以获得 Unixfind实用程序的 Win32 端口来帮助实现这一点),但你无法绝对保证用户没有更改文件的修改时间。它不像安全事件日志那样 100% 万无一失,但也不是不合理。
如果您所谈论的文件夹正在由 DFS-R 复制,我想您也可以使用 DFS-R 日志(在%SystemRoot%\System32\Debug)来尝试跟踪新文件的创建(通过它们的复制事件)。