Me pidieron que audite una carpeta que se encuentra en el servidor de archivos. Medios de auditoría
- ¿Cómo pueden los usuarios acceder a esa carpeta?
- algún cambio
- Editar
- Nuevo
- Eliminar archivos y carpetas
es necesario registrarlo.
Sé que esto se puede hacer usando el GP local en la Política de auditoría, pero quiero saber cómoregistro de eventos de seguridadSólo se puede filtrar para esta carpeta en particular.
También quiero saber si se puede utilizar algún software de terceros para generar un informe sobre lo que sucedió en esta carpeta.
Respuesta1
Ejemplo de un filtro de visor de eventos personalizado para mostrar eventos para la carpeta C:\TEST:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="ObjectName"] = "C:\TEST"]]</Select>
</Query>
</QueryList>
También puede realizar un filtrado personalizado similar con Get-WinEvent para extraer los datos.