Windows 2016 Datacenter Server 上のファイルとフォルダーの削除を監視したいです。既にイベント ID 4663 とイベント ID 4659 を監視しており、その説明は次のとおりです。
4659: 「オブジェクトへのハンドルが削除目的で要求されました」
4663: 「オブジェクトにアクセスしようとしました」
これらのイベントを、「アクセス」オブジェクトに「DELETE」があるイベントのみに絞り込みます。ただし、監視対象イベントに追加するのが合理的と思われる別のイベント ID があるようです。
4660: 「オブジェクトが削除されました」
オンラインで読んだところによると、オブジェクトの削除は、このイベントとイベント 4663 の両方をトリガーします。また、「このイベントはオブジェクト名を提供しないため、4663 と連動して監視する必要があります」
私の質問は、すでにイベント 4663 を監視しているのに、イベント 4660 を監視する理由があるかどうかです。オブジェクトの削除のみに関心があるため、これらのイベントに関するその他の情報は破棄されます。一方、イベント 4660 を監視しないと、削除イベントを見逃してしまう可能性はありますか?
助けてくれてありがとう
答え1
このイベントについては、ManageEngineのドキュメントではなく、Microsoftのドキュメントを参照してください。ここで見つける。
概要: 4663 はオブジェクトが削除されたときに常にログに記録されるため、通常は 4660 を無視できます。ただし、オブジェクトが削除されたときにのみイベント ID 4660 が記録されるのに対し、オブジェクトの名前が変更されたときにも 4663 が記録されることがあります。
欠点は、イベント 4660 にはオブジェクト名が含まれず、4663 イベントと関連付ける必要があるハンドル ID のみが含まれることです。
ほとんどの人は、4663 件のイベントを監視するだけで十分です。