Все, что я знаю о программировании, говорит мне, что это нетривиальная задача, но есть ли способ отследить, было ли что-то скопировано с компьютера на внешний диск? Все, что я могу найти в Windows 7, - это «Аудит доступа к объекту», который, похоже, не делает различий между копированием и чтением (и я понимаю, что копирование - это в основном операция чтения с операцией параллельной записи).
Так что-то мне не хватает или это невозможно без стороннего программного обеспечения?
Ранее мы проводили собственное исследование по этой теме, работая с нашим собственным программным обеспечением для аудита файловых серверов, и не смогли найти никаких способов реализовать эту функцию. Но наши клиенты часто спрашивали об этом. Да, только потому, что копирование технически является операцией чтения и записи, единственный способ контролировать это - отслеживать как чтение из источника, так и запись в место назначения, а затем пытаться коррелировать их.
Вы ничего не упускаете. Копия является операция чтения.
Некоторые приложения AntiVirus регистрируют файлы, записанные на внешнее устройство. Подобный подход может быть лучшим способом взглянуть на проблему.
Если копия записывается в файловую систему, а не в память, будут соответствующие записи в журнале событий. Однако вы не можете ожидать, что одна четкая запись скажет вам, что произошло. например На самом деле удаление - это три отдельные операции с точки зрения ведения журнала. Я не уверен, сколько различных операций будет иметь копия, но я бы ожидал не менее шести. Если какая-либо из операций не была зарегистрирована, возможно, операция копирования не была успешной. Я предлагаю вам спросить о переполнении стека, так как аспект кодирования этого немного выходит за рамки этого сайта.