在审核 Windows 文件服务器安全日志中用户打开文件的事件 ID 4663 时,我发现似乎存在一些误报。
我有一台 Windows Server 2008 R2 服务器,用作文件服务器,它具有一些网络共享供用户交互。审核是通过组策略启用的。在我特别测试的文件夹的安全设置中,审核选项卡下的“所有人”都具有完全控制权。在我的测试中,我转到一个特定的文件夹,假设其中有文件 A.txt、B.txt 和 C.txt。从我的笔记本电脑连接到网络共享,导航到该文件夹并单击 C.txt,在记事本中查看它,然后关闭应用程序并查看事件查看器中的安全日志。我过滤了 4663 个事件,发现它报告我打开了该文件夹中的所有文件。是否有更好的事件 ID 可以监控,或者可能需要对我的审核设置进行一些更改才能清除此问题?