当用户/进程覆盖文件时是否logging了任何事件? (Win Server 2012 R2)
除非您已针对有问题的文件启用了审核function。 每一个写操作(不在HANDLE中,只为append-only访问显式打开)实际上是一个覆盖(例如,当你保存一个文件时,编辑器通常会把整个文件写出来,即使它没有改变,除了添加一些东西到最后)。 事件日志会爆炸。
如果你想打开审计,这很容易。 打开Windows资源pipe理器到您要审计的文件(或目录),并打开它的属性。 转到安全选项卡。 点击Advanced ,然后进入审核标签。 要进行任何更改,您需要成为pipe理员(或者有权通过分配的权限设置“系统访问控制列表”或SACL)。 添加一个新的SACL条目。 指定要审核的用户或组(“用户”或“所有人”是有效的选项)。 select是只logging成功的操作,只logging被权限阻止的故障,或者两者兼有。 select您想要审核的访问types。 例如,要进行日志覆盖,您需要审核写入权限。 如果它是一个目录,那么可以使审计SACL由目录中的文件和子目录inheritance,或者仅适用于文件和子目录,就像“普通”ACL(技术上称为“自主ACL”或DACL)一样。 您可以添加多个SACL,审核不同的用户和/或权限。