При аудите события с идентификатором 4663 в журнале безопасности файлового сервера Windows для пользователей, открывающих файлы, я обнаружил, что, по моему мнению, есть несколько ложных срабатываний.
У меня есть сервер Windows Server 2008 R2, работающий как файловый сервер, на котором есть несколько общих сетевых ресурсов, с которыми пользователи могут взаимодействовать. Аудит включен через групповую политику. В настройках безопасности для папки, которую я тестировал, в частности, на вкладке аудита «Все» указаны с полным доступом. В своем тестировании я перехожу в конкретную папку, где, скажем, есть файлы A.txt, B.txt и C.txt. Со своего ноутбука я подключаюсь к общему сетевому ресурсу, перехожу к папке и нажимаю C.txt, просматриваю его в Блокноте, затем закрываю приложение и просматриваю журнал безопасности в средстве просмотра событий. Я бы отфильтровал 4663 события и обнаружил, что он сообщает, что я открыл все файлы в этой папке. Есть ли более подходящий идентификатор события для мониторинга или, может быть, в мои настройки аудита необходимо внести некоторые изменения, чтобы прояснить это?