我正在尝试在 Windows Server 2019 机器上实现文件访问审核,但成功率参差不齐。
所讨论的服务器是成员服务器,但不是域控制器。
我已在计算机配置 | 策略 | Windows 设置 | 安全设置 | 本地策略 | 审核策略 | 审核对象访问中使用 GPO 启用成功审核
我知道这是有效的,因为如果我撤销它,文件访问审计就会停止。
我转而启用文件夹级别的审核,但在我为特定文件夹设置审核后,我发现服务器正在记录服务器上每个事件的文件访问事件。我再次检查文件夹树以查看是否有任何策略被继承,但我什么也没发现。
因此,在启用审核的情况下,并且从驱动器路由到共享文件夹的任何文件夹都没有实施审核策略,文件访问仍会在整个共享文件夹中被记录。
我在整个行程中都进行了工作,并在每个关键点检查了审计政策:没有制定审计政策。
如果我理解了这个过程,我应该只看到带有审计日志条目的文件夹和文件的审计日志,以及它们下面继承条目的任何内容。
为了确保万无一失,我从事件查看器中取出了一个示例日志,并按照路径检查了从驱动器根目录到文件的每个文件夹。我没有在任何地方找到任何类型的审计条目。
我不知所措。我可以使用 GPO 启用和禁用日志记录,但一旦启用,我就会从不需要或不想要的日志记录中获取大量我无法控制的数据。
我估计我在这里遗漏了一些东西,但我不知道是什么。
有什么建议吗?
答案1
我一直在使用安全设置|本地策略中的基本审计策略。
我应该使用高级审计策略配置,但是我没有在 GPO 中看到它,因为它位于安全设置列表的其他位置,并且不位于审计策略相邻处,而我期望在那里找到它。
事情变得更加混乱,因为条目出现在窗口之外。一个更大的窗口,或一个短滚动,或者在这种情况下格雷格·阿斯库评论中的指针已经修复!