作業中のアプリケーションによって、フォルダーからいくつかのデータ ファイルが予期せず削除されました。
Windows 7 でそのフォルダーの何らかのログを取得して、ファイルがいつ削除されたか、どのコマンドで削除されたかを確認することは可能ですか?
答え1
ローカル グループ ポリシーと特定のフォルダー設定でいくつかの設定を構成する必要があります。削除されたファイルを追跡するには、以下の手順に従ってください。これにより、ファイルが削除されたときのタイムスタンプや、ファイルを削除したユーザー アカウントなどの情報を取得できます。
実行 > gpedit.msc > コンピューターの構成 --> Windows の設定 --> セキュリティの設定 --> ローカル ポリシー --> 監査ポリシー --> オブジェクト アクセスの監査 > 「成功」監査を有効にする。次に、コマンド プロンプトを開き、グループ ポリシー設定を有効にするために「gpupdate /force」コマンドを実行します。
ローカル GPO を配置したら、監視するフォルダーに移動し、右クリックしてプロパティに移動します。セキュリティ タブ > 詳細設定 > 監査タブ > 編集 > 追加 > 次に、そのフォルダーにアクセスできるグループを追加 > 「フォルダーとサブフォルダーのファイルの削除」と「削除」を選択して [OK] をクリックします --> 「すべての既存の継承可能な監査エントリを置き換える」を選択して、「すべてのサブフォルダーとファイル」に監査を適用し、[OK] をクリックします。
ここで、いくつかのテスト ファイルを削除し、イベント ID 4660 とイベント ID 4663 をキーワード「DELETE」でフィルターすると、詳細がわかります。
お役に立てれば。