파일 서버에 있는 하나의 폴더를 감사하라는 요청을 받았습니다. 감사수단
- 사용자가 해당 폴더에 어떻게 액세스하고 있습니까?
- 모든 변경 사항
- 편집하다
- 새로운
- 파일 및 폴더 삭제
기록해야 합니다.
감사 정책에서 로컬 GP를 사용하여 이 작업을 수행할 수 있다는 것을 알고 있지만보안 이벤트 로그이 특정 폴더에 대해서만 필터링할 수 있습니다.
또한 이 폴더에서 발생한 일에 대한 보고서를 가져오는 데 타사 소프트웨어를 사용할 수 있는지 알고 싶습니다.
답변1
C:\TEST 폴더에 대한 이벤트를 표시하는 사용자 정의 이벤트 뷰어 필터의 예:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="ObjectName"] = "C:\TEST"]]</Select>
</Query>
</QueryList>
데이터 추출을 위해 Get-WinEvent를 사용하여 유사한 사용자 지정 필터링을 수행할 수도 있습니다.