Меня попросили создать контрольную запись доступа к файлам. По бревну просто подавляющее. Один двойной щелчок по открытию текстового файла в блокноте создает более 10 записей журнала с идентификатором события 4663. Я много раз вижу доступ READ_CONTROL. Что это такое и какое разрешение на доступ генерирует это?
Я хочу сократить сбор данных и регистрировать только те, которые отражают фактическое открытие файла для чтения или записи.
Это на Windows Server 2008.
Более простой способ сделать это - отфильтровать идентификаторы событий 4656 (открытие файла) и 4658 (закрытие файла) вместе с 4663; таким образом вы можете увидеть, кто открыл / закрыл файл и соответствующий READ_CONTROL, который регистрируется вместе с этими событиями, когда фактически используются права доступа.
Вот отличная ссылка: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4663
Сообщите мне, если это не сработает для вас, или если я не решаю вашу проблему, и я могу быть более конкретным.