我正在尝试设置 GPO,以便可以在事件查看器中搜索意外删除了网络中共享驱动器的用户。
我还可以搜索哪些其他事件 ID 列表以便知道它属于哪个类别?
例如 4624 = 登录
我尝试了以下步骤,但是,当我执行搜索过滤器时,它没有显示已删除的项目事件 ID#4663,而是显示其他人的访问。
答案1
你首先需要
- 启用文件和文件夹访问审核策略
- 现在您需要在要跟踪的共享网络文件夹的属性中配置审核
- 现在,如果用户删除共享网络文件夹中的任何文件或文件夹,则来自 Microsoft Windows 安全审计源的安全日志中会出现文件系统 -> 审计成功文件删除事件,事件 ID 为 4663。打开事件查看器 mmc 控制台 (eventvwr.msc),展开 Windows 日志 -> 安全部分。通过 EventID 4663 启用事件日志过滤器。
http://woshub.com/tracking-files-deletion-using-audit-policy-and-mssql/
答案2
此链接包含启用审计所需的所有信息:
https://system32.eventsentry.com/security/event/5144
https://system32.eventsentry.com/security/auditing
该网站还将为您提供有关其他活动的更多信息,例如 4624。
我希望你明白,你不能追溯启用审计,所以这当然只适用于未来的活动/事件。