У меня есть коробка Windows Server 2012 R2 с установленной ролью файлового сервера (FSRM, DFS Namespaces, DFSR). Одна папка из пространства имен DFS существенно увеличилась в размере за последние два дня. В папке очень много вложенных папок и так далее. Я хотел проверить, что там происходит, какие новые файлы, может быть, также кто добавляет туда файлы. Я могу установить настройки аудита для всех в папке, но это выводит слишком много информации в журнал безопасности, что, на мой взгляд, нецелесообразно. У меня действительно не установлен какой-либо сторонний инструмент. Есть ли более простой способ собрать такую информацию? Может быть, скрипт Powershell получает последние записанные файлы?
Журнал событий безопасности и доступ к объектам аудита будут «поддерживаемым» способом сделать это без добавления стороннего программного обеспечения. Нет встроенных функций, иначе это сделало бы то, что вы ищете.
Поиск файлов по дате - неплохая идея (вы можете получить порт Win32 для Unix find утилита, чтобы помочь с этим), но вы не можете абсолютно гарантировать, что пользователь не изменил время модификации файла. Это не на 100% надежно, как журнал событий безопасности, но это не лишено смысла.
Если папки, о которых вы говорите, реплицируются DFS-R, я полагаю, вы могли бы использовать журналы DFS-R (в %SystemRoot%\System32\Debug), чтобы попытаться отслеживать создание новых файлов (посредством событий их репликации).