幾年前,偶會發生User詢問能不能找出誰刪了Server上檔案的紀錄,忘了當時是找不到資料還是試不出來,后来就作罢。前阵子无意间看到相关文章教学,剛試了一下,做个纪录:
- 执行输入gpedit.msc,【電腦設定】 ->【Windows設定】->【安全性設定】->【本機原則】->【稽核原則】
- 點擊【稽核物件存取】,勾选【成功】。
- 對目的資料夾按右鍵,選【內容】->【安全性】->【進階】->【稽核】
- 選【新增】->【選取一個主體】->【Everyone】->【顯示進階權限】->只勾【删除此资料夹及档案】、【删除】两个
接着是到Windows纪录查看结果:
- 在【Windows記錄】->【安全性】按右鍵,選【篩選目前的記錄】
- 输入跟删除有关的事件代码:4656,4663
- 刪除個資料夾做測試
提示. 最前面的群組原則(输入gpedit.msc)沒設定的話,雖然會有記錄,但不會顯示被刪的檔案路徑
【相关连结】
- 找出乱砍档案的凶手:『稽核原则』 @ GN的隨手筆記 :: 随意窝 Xuite日志
- 利用Windows Server 2012架設檔案伺服器並進行檔案存取稽核(下集) | 積沙成塔 – 點部落