我被要求审计文件服务器中的一个文件夹。审计意味着
- 有多少用户正在访问该文件夹
- 任何变化
- 编辑
- 新的
- 删除文件和文件夹
需要记录下来。
我知道这可以使用审计策略中的本地 GP 来完成,但想知道如何安全事件日志仅可针对此特定文件夹进行过滤。
我还想知道是否可以使用任何第三方软件来提取有关此文件夹中发生的事情的报告。
答案1
显示文件夹 C:\TEST 的事件的自定义事件查看器过滤器的示例:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="ObjectName"] = "C:\TEST"]]</Select>
</Query>
</QueryList>
您还可以使用 Get-WinEvent 执行类似的自定义过滤来提取数据。