我很好奇,如果有可能在Windows Server 2012上审核文件共享副本。 如何根据事件日志中发送的事件区分复制文件而不是读取文件? 复制文件在读写方面是否存在某种模式?
谢谢您的帮助!
在股份层面,没有。 这是由于股票没有系统ACL。 但是,您可以启用对文件系统级别的审计,以便对共享文件夹进行写入访问。 有关高级审核策略configuration>对象访问,请参阅以下帮助文本:
文件系统
此策略设置允许您审计用户访问文件系统对象的尝试。 只有具有指定的系统访问控制列表(SACL)的对象才会生成安全审核事件,并且仅当请求的访问types(例如写入,读取或修改)以及发出请求的帐户与SACL中的设置匹配时才会生成安全审核事件。 有关启用对象访问审核的详细信息,请参阅http://go.microsoft.com/fwlink/?LinkId=122083 。
如果您configuration此策略设置,则每次帐户使用匹配的SACL访问文件系统对象时都会生成审核事件。 成功审计logging成功的尝试,失败审计logging不成功的尝试。 如果不configuration此策略设置,则当帐户访问具有匹配SACL的文件系统对象时,不会生成审核事件。
注:您可以使用该对象的“属性”对话框中的“安全”选项卡,在文件系统对象上设置SACL。
卷:取决于如何configuration文件系统SACL。