我的目标:我想找出是谁删除了网络共享上的文件。用户有时会抱怨文件丢失,通常都是其他人的错。
我已为该网络共享启用了文件审核。如果我转到事件查看器查看审核事件,我会看到大量的事件,有时同一秒内来自同一用户的事件超过 100 个,只有“ReadAttributes”或“ReadData(或 ListDirectory)”。(我假设是搜索索引或类似内容)
我如何才能禁用记录这些事件的权限,以免它们充斥我的事件日志?
我的解决方法是使用以下方法创建 XML 过滤器
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*
</Select>
<Suppress Path="Security">
*[EventData[Data[@Name='AccessMask'] and (Data='0x80' or Data='0x1' or Data='0x81' or Data='0x20080' or Data='0x20089')]]
</Suppress>
</Query>
</QueryList>
仅显示重要的记录更改和删除等事件。安全日志中始终有 28-29k 个事件。
也许是因为这种泛滥,我只能看到最近几分钟的日志,而看不到 1 小时前或更长时间的日志。如果我使用 XML 过滤器,也是如此。例如,如果我运行
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessMask'] and (Data='0x10000')]]
</Select>
</Query>
</QueryList>
要显示文件删除,我只能看到过去五分钟内删除的文件。如果我查看十分钟后的文件,我会看到完全不同的输出,不再显示 15 分钟前删除的文件。
日志中的事件数量是否有上限?如果达到上限,较旧的事件会被删除吗?存档?我在哪里可以找到一天前的日志?
总而言之,这使得审计日志变得毫无意义,因为通常几天后(如果不是几周)一些用户才会发现重要文件已被删除。有什么建议吗?
答案1
减少噪音的最佳方法是更改您在文件共享上启用的审核设置。
我怀疑当您启用审核时,您选中了所有类型的访问框,包括“读取”访问。这必然会淹没事件日志,因为 Windows 会为对文件和/或目录的每次读取访问记录 4663 事件。
我建议您检查一下审计设置,只启用写入活动(例如 WriteData 等)的审计。这应该会大大减少噪音。
或者,您也可以增加安全事件日志的大小。您可以在 Windows 事件查看器中右键单击日志来执行此操作。如果大小由组策略控制,那么您必须编辑相应的组策略。
噢,这些事件日志过滤器做得很好!