我想监视 Windows 2016 Datacenter Server 上文件和文件夹的删除。我已经在监视事件 ID 4663 和事件 ID 4659,其描述如下:
4659:“请求一个对象的句柄并意图删除”
4663:“尝试访问对象”
我将这些事件过滤为仅那些“访问”对象中包含“DELETE”的事件。但是,似乎还有另一个事件 ID,将其添加到受监控的事件中似乎合乎逻辑:
4660:“已删除一个对象”
从我在网上读到的内容来看,删除对象会触发此事件以及事件 4663。并且“这应该与 4663 一起监控,因为此事件不提供对象名称”
我的问题是:当我已经在监视事件 4663 时,我还有理由监视事件 4660 吗?由于我只对对象的删除感兴趣,因此有关这些事件的任何其他信息都会被丢弃。另一方面,如果不监视事件 4660,我是否可能会错过删除事件?
感谢您的帮助
答案1
我会查看微软关于此事件的文档,而不是 ManageEngine 的文档,你可以查找这里。
摘要:通常您可以忽略 4660,因为删除对象时始终会记录 4663。但是,重命名对象时也可能会收到 4663,而删除对象时只会收到事件 ID 4660。
缺点是事件 4660 不包含对象名称,只包含需要与 4663 事件关联的句柄 ID。
大多数人仅监控 4663 个事件就足够了。