僅作筆記用途請勿由此轉載

 

如果在 Windows 中的檔案或資料夾,懷疑是有人故意刪除的話,

可以使用以下方法啟用 Audit 功能,在 事件檢視器中就可以找到相關的紀錄

****************************************************************************

設定 本機安全性原則

開始>執行>secpol.msc-----本機安全原則

clip_image001

下圖是開啟的稽核項目

clip_image002

2.  在要監控的資料夾按右鍵點選 安全性 ,再選 進階

clip_image004

3.  點選 稽核 頁面,選擇 編輯,

*新增everyone使用者

clip_image005

4.  勾選

ˇ刪除子資料夾及檔案 、

ˇ刪除

不需稽核的項目就清除免得檢視項目過多

clip_image006

5. 在受監控的目錄中刪除檔案

clip_image008

6. 在 事件檢視器中

開始>執行> eventvwr.msc------------事件檢視器
左窗格選Windows紀錄--安全性,右窗格選”篩選目前的紀錄” ,過濾事件識別碼 4663 ,就可以看到誰刪除了檔案和資料夾。

clip_image010

––

內容來源

http://johnchen6927.pixnet.net/blog/post/188094529-windows-server-2008-%E5%88%AA%E9%99%A4%E6%AA%94%E6%A1%88%E7%9A%84%E7%B4%80%E9%8C%84

arrow
arrow
    文章標籤
    windows audit 稽核
    全站熱搜

    trex0002006 發表在 痞客邦 留言(0) 人氣()