Ich wurde gebeten, einen Ordner zu prüfen, der sich auf dem Dateiserver befindet. Prüfung bedeutet
- Wie viele Benutzer greifen auf diesen Ordner zu?
- irgendwelche Veränderungen
- Bearbeiten
- Neu
- Dateien und Ordner löschen
müssen aufgezeichnet werden.
Ich weiß, dass dies mit Local GP in Audit Policy möglich ist, möchte aber wissen, wie dasSicherheitsereignisprotokollkann nur für diesen bestimmten Ordner gefiltert werden.
Ich möchte auch wissen, ob mithilfe von Software von Drittanbietern ein Bericht darüber erstellt werden kann, was in diesem Ordner passiert ist.
Antwort1
Beispiel eines benutzerdefinierten Ereignisanzeigefilters zum Anzeigen von Ereignissen für den Ordner C:\TEST:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="ObjectName"] = "C:\TEST"]]</Select>
</Query>
</QueryList>
Sie können zum Extrahieren der Daten auch eine ähnliche benutzerdefinierte Filterung mit Get-WinEvent durchführen.