Windows Server 2012 稽核刪除檔案的紀錄

  幾年前,偶會發生User詢問能不能找出誰刪了Server上檔案的紀錄,忘了當時是找不到資料還是試不出來,後來就作罷前陣子無意間看到相關文章教學,剛試了一下,做個紀錄

  • 执行 gpedit.msc,【電腦設定】 ->【Windows設定】->【安全性設定】->【本機原則】->【稽核原則】

  • 點擊【稽核物件存取】,勾選【成功】

 

  • 對目的資料夾按右鍵,選【內容】->【安全性】->【進階】->【稽核】

 

  • 選【新增】->【選取一個主體】->【Everyone】->【顯示進階權限】->只勾【刪除此資料夾及檔案】【刪除】兩個

 

接著是到Windows紀錄查看結果

  • 在【Windows記錄】->【安全性】按右鍵,選【篩選目前的記錄】

 

  • 輸入跟刪除有關的事件代碼:4656,4663

 

  • 刪除個資料夾做測試

 

Conseils. 最前面的群組原則(gpedit.msc)沒設定的話,雖然會有記錄,但不會顯示被刪的檔案路徑

 

[Liens]

Laisser un commentaire

S'il vous plaît noter: La modération des commentaires est activée et peut retarder votre commentaire. Il n'est pas nécessaire de renvoyer votre commentaire.