Quiero monitorear la eliminación de archivos y carpetas en un servidor de centro de datos de Windows 2016. Ya estoy monitoreando el evento ID 4663 y el evento ID 4659, que tienen la siguiente descripción:
4659: "Se solicitó un identificador de un objeto con la intención de eliminarlo"
4663: "Se intentó acceder a un objeto"
Filtro estos eventos solo para aquellos que tienen "ELIMINAR" en su objeto "Accesos". Sin embargo, parece haber otro ID de evento, que parece lógico agregar a los eventos monitoreados:
4660: "Se eliminó un objeto"
Por lo que he leído en línea, la eliminación de un objeto desencadena tanto este evento como el evento 4663. Y "esto debe monitorearse en conjunto con 4663, ya que este evento no proporciona el nombre del objeto".
Mi pregunta es; ¿Hay alguna razón para monitorear el evento 4660, cuando ya estoy monitoreando el evento 4663? Como solo me interesa la eliminación de objetos, se descarta cualquier otra información sobre estos eventos. Por otro lado, ¿es posible que me pierda un evento de eliminación si no se monitorea el evento 4660?
gracias por su ayuda
Respuesta1
Yo miraría la documentación de Microsoft sobre este evento en lugar de la de ManageEngine, que puedeencontrar aquí.
Resumen: generalmente puede ignorar 4660 ya que 4663 siempre se registrará cuando se elimine un objeto. Sin embargo, también puede obtener un 4663 cuando se cambia el nombre de un objeto, mientras que solo obtiene el ID de evento 4660 cuando se elimina un objeto.
La desventaja es que el evento 4660 no contiene el nombre del objeto, solo la identificación del identificador que necesitaría correlacionar con un evento 4663.
La mayoría de la gente está bien con sólo monitorear 4663 eventos.