我被要求创build文件访问的审计logging。 由日志简直是压倒性的。 在记事本中打开的文本文件的双击将创build超过10个日志条目与事件ID 4663.我看到一个READ_CONTROL访问许多次。 这是什么和什么访问权限生成这个?
我想修剪数据收集,只logging那些反映文件实际打开的读取或写入。
这是在Windows Server 2008上。
更简单的方法是筛选事件ID 4656(打开文件)和4658(closures文件)以及4663; 通过这种方式,您可以在实际使用访问权限时查看谁打开/closures了文件以及与这些事件一起logging的相应READ_CONTROL。
这里有一个很好的参考: https : //www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4663
让我知道,如果这不适合你,或者如果我不处理你的关注,我可以更具体。