Регистрируется ли какое-либо событие, когда пользователь / процесс перезаписывает файлы? (Win Server 2012 R2)
Нет, если у вас не включен аудит для рассматриваемых файлов. Каждая операция записи (которая не находится в РУЧКЕ, явно открытом для доступа только для добавления) фактически является перезаписью (например, когда вы сохраняете файл, редактор обычно снова записывает весь файл, даже если он не изменился, за исключением добавления некоторых прочее до конца). Журнал событий взорвался бы.
Если вы хотите включить аудит, это достаточно просто. Откройте проводник Windows для файла (или каталога), который вы хотите проверить, и откройте для него Свойства. Перейдите на вкладку Безопасность. Нажмите Advanced а затем перейдите на вкладку Auditing. Чтобы внести какие-либо изменения, вам необходимо быть администратором (или иметь возможность установить «Системный список управления доступом» или SACL с помощью назначенных привилегий). Добавьте новую запись SACL. Укажите пользователя или группу для аудита (допустимые варианты «Пользователи» или «Все»). Выберите, нужно ли регистрировать только успешные операции, только сбои, заблокированные разрешениями, или и то, и другое. Выберите типы доступа для аудита. Например, для перезаписи журнала необходимо проверить разрешение на запись. Если это каталог, вы можете унаследовать SACL аудита от файлов и подкаталогов в каталоге или применить только к файлам и подкаталогам, как и в случае с «обычными» ACL (технически называемыми «Discretionary ACLs» или DACL). Вы можете добавить несколько списков SACL, проверяя разных пользователей и / или разрешения.