작업 중인 응용 프로그램이 폴더에서 일부 데이터 파일을 예기치 않게 삭제했습니다.
Windows 7에서 해당 폴더에 대한 일종의 로그를 가져와서 파일이 삭제된 시기와 해당 파일을 삭제한 명령을 확인하는 것이 가능합니까?
답변1
로컬 그룹 정책 및 특정 폴더 설정에서 몇 가지 설정을 구성해야 합니다. 삭제된 파일을 추적하려면 아래 단계를 따르십시오. 파일이 삭제된 타임스탬프, 파일을 삭제한 사용자 계정 등의 정보를 가져올 수 있습니다.
실행 > gpedit.msc > 컴퓨터 구성 --> Windows 설정 --> 보안 설정 --> 로컬 정책 --> 감사 정책 --> 개체 액세스 감사 > '성공' 감사 활성화. 이제 명령 프롬프트를 열고 "gpupdate /force" 명령을 실행하여 그룹 정책 설정을 적용하십시오.
로컬 GPO가 설정되면 모니터링하려는 폴더로 이동하여 마우스 오른쪽 버튼을 클릭하고 속성으로 이동합니다. 보안 탭 > 고급 > 감사 탭 > 편집 > 추가 > 해당 폴더에 액세스할 수 있는 그룹 추가 > "를 선택합니다. 폴더 및 하위 폴더 파일 삭제" 및 "삭제"를 클릭하고 확인을 클릭합니다 --> "모든 하위 폴더 및 파일"에 감사를 적용하려면 상속 가능한 기존 감사 항목 모두 바꾸기를 선택하고 확인을 클릭합니다.
이제 일부 테스트 파일을 삭제하고 'DELETE' 키워드로 이벤트 ID 4660 및 이벤트 ID 4663을 필터링하면 자세한 내용을 알 수 있습니다.
도움이 되었기를 바랍니다.