幾年前,偶會發生User詢問能不能找出誰刪了Server上檔案的紀錄,忘了當時是找不到資料還是試不出來,나중에 포기。최근 실수로 관련 기사 교육 참조,剛試了一下,기록 확인:
- 執行gpedit.msc,【電腦設定】 ->【Windows設定】->【安全性設定】->【本機原則】->【稽核原則】
- 點擊【稽核物件存取】,에서 [성공]을 확인。
- 對目的資料夾按右鍵,選【內容】->【安全性】->【進階】->【稽核】
- 選【新增】->【選取一個主體】->【Everyone】->【顯示進階權限】->그냥이 폴더를 훅하고 [파일] 삭제、삭제이
윈도우 다음은 결과의 기록을 볼 수 있습니다:
- 在【Windows記錄】->【安全性】按右鍵,選【篩選目前的記錄】
- 삭제와 관련된 이벤트 코드를 입력:4656,4663
- 刪除個資料夾做測試
팁. 最前面的群組原則(gpedit.msc)沒設定的話,雖然會有記錄,但不會顯示被刪的檔案路徑
[링크]
- 살인자 해킹 파일을 찾기:"감사 원리" @ GN的隨手筆記 :: 임의로 둥지 Xuite 로그
- 利用Windows Server 2012架設檔案伺服器並進行檔案存取稽核(下集) | 積沙成塔 – 포인트 부족
