我被要求创建文件访问的审计记录。日志简直令人应接不暇。双击记事本中打开的文本文件会创建超过 10 个日志条目,事件 ID 为 4663。我多次看到 READ_CONTROL 访问。这是什么?哪种访问权限会生成此信息?
我想减少数据收集并仅记录那些反映实际打开文件进行读写的数据。
这是在 Windows Server 2008 上。
答案1
一种更简单的方法是过滤事件 ID 4656(打开文件)和 4658(关闭文件)以及 4663;这样,您可以看到谁打开/关闭了文件,以及在实际使用访问权限时与这些事件一起记录的相应 READ_CONTROL。
这是一个很好的参考: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4663
如果这对您不起作用或者我没有解决您的问题,请告诉我,我可以更具体一点。