幾年前,偶會發生User詢問能不能找出誰刪了Server上檔案的紀錄,忘了當時是找不到資料還是試不出來,Je m'arrêterai plus tard。Il n'y a pas longtemps, j'ai vu l'enseignement d'articles connexes,剛試了一下,Faire un enregistrement:
- 执行 gpedit.msc,【電腦設定】 ->【Windows設定】->【安全性設定】->【本機原則】->【稽核原則】
- 點擊【稽核物件存取】,Cochez 【Succès】。
- 對目的資料夾按右鍵,選【內容】->【安全性】->【進階】->【稽核】
- 選【新增】->【選取一個主體】->【Everyone】->【顯示進階權限】->Cochez uniquement 【Supprimer ce dossier et ce fichier】、【Supprimer】 Deux
Accédez ensuite à l'enregistrement Windows pour afficher les résultats:
- 在【Windows記錄】->【安全性】按右鍵,選【篩選目前的記錄】
- Entrez le code d'événement lié à la suppression:4656,4663
- 刪除個資料夾做測試
Conseils. 最前面的群組原則(gpedit.msc)沒設定的話,雖然會有記錄,但不會顯示被刪的檔案路徑
[Liens]
- Trouvez le meurtrier qui a piraté les fichiers:『Principes d'audit』 @ GN的隨手筆記 :: 随意 窝 Xuite 日志
- 利用Windows Server 2012架設檔案伺服器並進行檔案存取稽核(下集) | 積沙成塔 – Points tribus
