我想能够知道谁和什么时候碰到一个文件。 我最后一个问题表明,我不能依靠NTFS。
对此的实施根据您的基础设施而不同,但答案(原则上)是相同的。 有时间实施文件审计。
如果您正在讨论Windows服务器上的共享,那么您应该 通过GPO实施文件审计 。 如果您担心Windows工作站,可以通过本地安全策略来实现
您应该可以打开文件访问审核。 这与查看修改date/时间不同。 下面的网页有一个非常好的写法: http : //www.techotopia.com/index.php/Auditing_Windows_Server_2008_File_and_Folder_Access
您可能只想采取下一个逻辑上的跳跃,并看看所谓的基于主机的入侵检测系统(HIDS)的方向,作为其function之一,它提供了设置文件监控。
我不能推荐任何Windows的HIDS,但你应该能够find适合你的需求的东西。
您可以使用最新版本的Splunk来跟踪文件系统更改。 免费版本可以让你每天索引500MB,这对于大多数文件系统的改变来说应该是足够的。
有关如何执行此操作的信息,请访问: http : //www.splunk.com/base/Documentation/3.4.10/Admin/FileSystemChangeMonitor
你可以试试Power Admin File Sight 。 有30天的试用期,如果你决定购买它并不是非常昂贵。
退房“neologger”
官方网站http://www.bsk-consulting.de/neologger-windows-syslog-logger-tool/
Sourceforge网站http://sourceforge.net/projects/neologger/