幾年前,偶會發生User詢問能不能找出誰刪了Server上檔案的紀錄,忘了當時是找不到資料還是試不出來,後來就作罷。前陣子無意間看到相關文章教學,剛試了一下,做个记录:
- Run gpedit.msc,【電腦設定】 ->【Windows設定】->【安全性設定】->【本機原則】->【稽核原則】
- 點擊【稽核物件存取】,勾選【成功】。
- 對目的資料夾按右鍵,選【內容】->【安全性】->【進階】->【稽核】
- 選【新增】->【選取一個主體】->【Everyone】->【顯示進階權限】->只勾【刪除此資料夾及檔案】、【刪除】兩個
接著是到Windows紀錄查看結果:
- 在【Windows記錄】->【安全性】按右鍵,選【篩選目前的記錄】
- Input event codes related to deletion:4656,4663
- Delete a folder for testing
提示. The group policy at the forefront(gpedit.msc)If not configured,Although there will be logs,The deleted file path will not be displayed
【相關連結】
- Find the culprit who randomly deletes files:'Audit Policy' @ GN的随手笔记 :: 随意窝 Xuite日志
- Set up a file server using Windows Server 2012 and perform file access auditing (Part 2) | Many a little makes a mickle – 点博客
留下回复