我在 Windows 2012 R2 服务器上安装了自定义开发的应用程序(独立),驱动器映射到最终用户的 Windows 10 工作站。用户打开映射驱动器并双击该应用程序以运行它。
现在我的问题是:有没有办法找到谁(用户 ID)在何时执行了应用程序?它可能在事件日志中,也可能在其他地方,但我正在寻找该信息以满足我的审计员。
此外,如果现在没有捕获,有没有办法(通过一些批处理文件等)来捕获这些信息?
答案1
除非事先配置了适当的审计。
For the system:
Advanced Audit Policy, Object Access, Audit File System (Success and Failure)
For the directory:
Advanced Security Settings, Auditing, Everyone, All, Read & Execute
配置完成后,您会An attempt was made to access an object 在安全日志中看到事件 ID 4663:
An attempt was made to access an object.
Subject:
Security ID: DOMAIN\SamAccountName
Object:
Object Name: <FILEPATH>
Access Request Information:
Accesses: Execute/Traverse
答案2
与 spacenomyous(找到正确的 EventID)类似,您可以设置 EventLog ID 的日志收集(即基于它们提到的 EventID)并将它们转发到您的收集服务器或某种监控套件。