Fui solicitado a auditar uma pasta que está no servidor de arquivos. Meios de auditoria
- como o usuário pode estar acessando essa pasta
- quaisquer alterações
- Editar
- Novo
- Excluir arquivos e pastas
precisam ser registrados.
Eu sei que isso pode ser feito usando o GP Local na Política de Auditoria, mas quero saber como oregistro de eventos de segurançapode ser filtrado apenas para esta pasta específica.
Também quero saber se algum software de terceiros pode ser usado para gerar um relatório sobre o que aconteceu nesta pasta.
Responder1
Exemplo de filtro personalizado do visualizador de eventos para exibir eventos da pasta C:\TEST:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="ObjectName"] = "C:\TEST"]]</Select>
</Query>
</QueryList>
Você também pode realizar uma filtragem personalizada semelhante com Get-WinEvent para extrair os dados.