Я хочу знать, кто и когда коснулся файла. Мой последний вопрос показал, что я не могу полагаться на NTFS.
Реализация этого зависит от вашей инфраструктуры, но ответ (в принципе) тот же. Пришло время внедрить аудит файлов.
Если вы говорите об общих ресурсах на сервере Windows, то вы должен воплощать в жизнь Аудит файлов через GPO. Если вас беспокоит рабочая станция Windows, это можно реализовать с помощью Политика локальной безопасности
У вас должна быть возможность включить аудит доступа к файлам. Это отличается от просмотра даты и времени изменения. На следующей странице есть действительно хорошее описание: http://www.techotopia.com/index.php/Auditing_Windows_Server_2008_File_and_Folder_Access
Вероятно, вы захотите просто сделать следующий логический шаг и посмотреть в сторону так называемых систем обнаружения вторжений на основе хоста (HIDS), которые, в качестве одной из своих функций, предлагают настройку мониторинга файлов.
Я не могу рекомендовать какие-либо HIDS для Windows, но вы сможете найти то, что вам нужно.
Вы можете отслеживать изменения файловой системы с помощью последних версий Splunk. Бесплатная версия позволит вам индексировать до 500 МБ в день, чего должно быть достаточно для большинства изменений файловой системы.
Информация о том, как это делается: http://www.splunk.com/base/Documentation/3.4.10/Admin/FileSystemChangeMonitor
Вы могли бы попробовать Просмотр файлов Power Admin. Доступна 30-дневная пробная версия, и если вы решите купить, это не очень дорого.
Проверьте "неологгер"
Официальный сайт http://www.bsk-consulting.de/neologger-windows-syslog-logger-tool/
Сайт Sourceforge http://sourceforge.net/projects/neologger/