共享networking驱动器的文件审计

一个月前我们被Cryptolocker击中了，从来没有build立过文件审计，所以没有办法确定它是从哪个用户发起的。

我已经进入pipe理工具>本地安全策略>本地策略>审核策略>，并启用对象访问成功和失败。

然后，我转到共享驱动器的根文件夹的审核设置，并将其选中为“写入属性”，“删除”和“删除”子文件夹和文件的“域用户”。

但事件日志中充满了“详细文件共享”事件5145，“networking共享对象被检查以查看客户端是否可以被授予期望的访问”

• 我如何获得在Linux上的NFS导出文件夹到OS X的OS X的用户ID，所以我可以cp -a从Linux到OS X？
• 当用户访问该服务器上的共享文件夹时，将在Windows服务器上创build本地用户configuration文件
• Ubuntu匿名Samba现在无法从OSX机器共享
• 在封闭的networking上突然慢的Windows文件共享
• 在XP上奇怪的networking行为

我真的不需要看到这些事件，只是想跟踪一个文件是否被修改，以防我们再次被cryptolocker命中。 还有什么我需要做的，只有这样的事件？

有没有比Windows事件日志更好的工具？