Kann mir jemand erklären, warum es in den Audit-Ereignissen eines Dateiservers jede Menge 4656-Ereignisse gibt, auch wenn die Datei oder die Ordner nicht direkt geöffnet wurden?
Wenn Sie beispielsweise das Stammverzeichnis H: öffnen, gibt es in den Ereignissen jede Menge 4656-Ereignisse, die sich auf die darin enthaltenen Ordner beziehen. Wenn Sie den Ordner H:\examplefolder\ öffnen, werden Sie jede Menge 4656-Ereignisse für Dateien und Ordner darin haben, ohne sie zu berühren. Vielen Dank
Antwort1
Wenn Sie die Überwachung für alles aktiviert haben, wird es viel Lärm geben. Wenn Listenordner aktiviert sind oder Attribute für die Dateien gelesen werden, möchten Sie möglicherweise Ihre Überwachungskriterien verfeinern.
