Una aplicación en la que estoy trabajando eliminó inesperadamente algunos archivos de datos de una carpeta.
¿Es posible en Windows 7 abrir algún tipo de registro para esa carpeta, para ver cuándo se eliminaron los archivos y qué comando los eliminó?
Respuesta1
Debe configurar algunas configuraciones en la Política de grupo local y en la configuración de la carpeta particular. Siga los pasos a continuación para rastrear los archivos eliminados. Puede brindarle información como la marca de tiempo cuando se elimina el archivo y la cuenta de usuario que eliminó el archivo.
Ejecutar > gpedit.msc > Configuración del equipo --> Configuración de Windows --> Configuración de seguridad --> Políticas locales --> Política de auditoría --> Auditar acceso a objetos > habilitar auditoría 'Éxito'. Ahora abra un símbolo del sistema y ejecute el comando "gpupdate /force" para que la configuración de la política de grupo surta efecto.
Una vez que el GPO local esté implementado, vaya a la carpeta que desea monitorear, haga clic derecho y vaya a propiedades: haga clic en la pestaña de seguridad > Avanzado > Pestaña Auditoría > Editar > Agregar > luego agregue el grupo que tiene acceso a esa carpeta > Seleccione " Eliminar carpetas y archivos de subcarpetas" y "Eliminar", y haga clic en Aceptar --> Seleccione Reemplazar todas las entradas de auditoría heredables existentes, para aplicar la auditoría en "Todas las subcarpetas y archivos" y haga clic en Aceptar
Ahora, elimine algún archivo de prueba y filtre el ID de evento 4660 y el ID de evento 4663 con la palabra clave "BORRAR" para conocer más detalles.
Espero que esto ayude.