Назад | Перейти на главную страницу

Журнал доступа к каталогу на диске

Есть ли способ отслеживать все операции чтения и записи в каталоге и его файлах в SBS 2011 (Windows Server 2008 R2)?

SysInternals Монитор процесса инструмент может регистрировать все обращения к диску.

Однако для того, чтобы извлечь из этого любую полезную информацию, вы должны знать, что ищете. Журнал необработанного доступа похож на пожарный шланг. :)

Вы также можете использовать встроенные параметры групповой политики аудита доступа в Server 2008 ( http://technet.microsoft.com/en-us/library/dd772630(WS.10).aspx ).

В редакторе групповой политики перейдите в Конфигурация компьютера | Настройки Windows | Настройки безопасности | Расширенные политики аудита - объект локальной групповой политики | Доступ к объектам и включение аудита событий файловой системы (успехи и неудачи).

Затем перейдите к папке, которую вы хотите отслеживать с помощью проводника Windows, Свойства - Безопасность - Дополнительно - Аудит и добавьте Все \ Полный для отслеживания всего доступа.

Любая попытка доступа к указанной папке приведет к появлению таких сообщений журнала событий безопасности:

An attempt was made to access an object.

Subject:
    Security ID:    YOURDOMAIN\USERID
    Account Name:   USERID
    Account Domain: YOURDOMAIN
    Logon ID:       0x5057c

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    C:\temp\share
    Handle ID:  0xbf8

Process Information:
    Process ID: 0x12fc
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   READ_CONTROL

    Access Mask:    0x20000

Вы можете пойти дальше и автоматизировать оповещения, прикрепив задачу к определенному событию в средстве просмотра событий, чтобы отправить электронное письмо, запустить программу и т. Д., Когда событие произойдет.