Есть ли способ отслеживать все операции чтения и записи в каталоге и его файлах в SBS 2011 (Windows Server 2008 R2)?
SysInternals Монитор процесса инструмент может регистрировать все обращения к диску.
Однако для того, чтобы извлечь из этого любую полезную информацию, вы должны знать, что ищете. Журнал необработанного доступа похож на пожарный шланг. :)
Вы также можете использовать встроенные параметры групповой политики аудита доступа в Server 2008 ( http://technet.microsoft.com/en-us/library/dd772630(WS.10).aspx ).
В редакторе групповой политики перейдите в Конфигурация компьютера | Настройки Windows | Настройки безопасности | Расширенные политики аудита - объект локальной групповой политики | Доступ к объектам и включение аудита событий файловой системы (успехи и неудачи).
Затем перейдите к папке, которую вы хотите отслеживать с помощью проводника Windows, Свойства - Безопасность - Дополнительно - Аудит и добавьте Все \ Полный для отслеживания всего доступа.
Любая попытка доступа к указанной папке приведет к появлению таких сообщений журнала событий безопасности:
An attempt was made to access an object.
Subject:
Security ID: YOURDOMAIN\USERID
Account Name: USERID
Account Domain: YOURDOMAIN
Logon ID: 0x5057c
Object:
Object Server: Security
Object Type: File
Object Name: C:\temp\share
Handle ID: 0xbf8
Process Information:
Process ID: 0x12fc
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: READ_CONTROL
Access Mask: 0x20000
Вы можете пойти дальше и автоматизировать оповещения, прикрепив задачу к определенному событию в средстве просмотра событий, чтобы отправить электронное письмо, запустить программу и т. Д., Когда событие произойдет.