T-REX的空間

僅作筆記用途請勿由此轉載

如果在 Windows 中的檔案或資料夾，懷疑是有人故意刪除的話，

可以使用以下方法啟用 Audit 功能，在 事件檢視器中就可以找到相關的紀錄

****************************************************************************

設定 本機安全性原則

開始>執行>secpol.msc-----本機安全原則

下圖是開啟的稽核項目

2.  在要監控的資料夾按右鍵點選 安全性 ，再選 進階

3.  點選 稽核 頁面，選擇 編輯，

*新增everyone使用者

4.  勾選

ˇ刪除子資料夾及檔案 、

ˇ刪除

不需稽核的項目就清除免得檢視項目過多

5. 在受監控的目錄中刪除檔案

6. 在 事件檢視器中

開始>執行> eventvwr.msc------------事件檢視器
左窗格選Windows紀錄--安全性，右窗格選”篩選目前的紀錄” ，過濾事件識別碼 4663 ，就可以看到誰刪除了檔案和資料夾。

––

內容來源

http://johnchen6927.pixnet.net/blog/post/188094529-windows-server-2008-%E5%88%AA%E9%99%A4%E6%AA%94%E6%A1%88%E7%9A%84%E7%B4%80%E9%8C%84