当用户/进程覆盖文件时是否会记录任何事件?(Win Server 2012 R2)
答案1
除非您为相关文件启用了审核功能,否则不会发生这种情况。每个写入操作(不是在明确打开以进行追加访问的 HANDLE 上进行的)实际上都是覆盖(例如,当您保存文件时,编辑器通常会再次写出整个文件,即使它没有改变,只是在末尾添加了一些内容)。事件日志会爆炸。
如果您想启用审计功能,这很容易。打开 Windows 资源管理器,找到您要审计的文件(或目录),然后打开其属性。转到“安全”选项卡。单击Advanced,然后转到“审计”选项卡。要进行任何更改,您需要成为管理员(或能够通过分配的权限设置“系统访问控制列表”或 SACL)。添加新的 SACL 条目。指定您要审计的用户或组(“用户”或“所有人”是有效选项)。选择是否仅记录成功的操作、仅记录被权限阻止的失败,或两者兼而有之。选择您要审计的访问类型。例如,要记录覆盖,您将审计写入权限。如果它是一个目录,您可以让目录中的文件和子目录继承审计 SACL,或者仅适用于文件和子目录,就像“普通”ACL(技术上称为“自由裁量 ACL”或 DACL)一样。您可以添加多个 SACL,审计不同的用户和/或权限。