有没有办法监视SBS 2011(Windows Server 2008 R2)中的目录及其文件的所有读写操作?
您还可以使用Server 2008上的内置Access审核组策略设置( http://technet.microsoft.com/zh-cn/library/dd772630(WS.10).aspx )。
在组策略编辑器中,转到“计算机configuration”| Windows设置| 安全设置| 高级审核策略 – 本地组策略对象| 对象访问并启用审计文件系统事件(成功和失败)。
然后使用Windows资源pipe理器,属性 – 安全 – 高级 – 审计浏览到要监视的文件夹,并添加Everyone \ Full以监视所有访问。
任何访问指定文件夹的尝试都会导致安全事件日志信息如下所示:
An attempt was made to access an object. Subject: Security ID: YOURDOMAIN\USERID Account Name: USERID Account Domain: YOURDOMAIN Logon ID: 0x5057c Object: Object Server: Security Object Type: File Object Name: C:\temp\share Handle ID: 0xbf8 Process Information: Process ID: 0x12fc Process Name: C:\Windows\explorer.exe Access Request Information: Accesses: READ_CONTROL Access Mask: 0x20000 您可以通过将任务附加到事件查看器中的特定事件来发送电子邮件,启动程序等事件发生时自动执行警报。
SysInternals 进程监视器工具能够logging所有磁盘访问。
从这里获得任何有用的信息需要你知道你在找什么。 原始的访问日志是有点stream水的。 🙂