Quero monitorar a exclusão de arquivos e pastas em um Windows 2016 Datacenter Server. Já estou monitorando o ID do evento 4663 e o ID do evento 4659, que possuem a seguinte descrição:
4659: "Um identificador para um objeto foi solicitado com intenção de exclusão"
4663: "Foi feita uma tentativa de acessar um objeto"
Eu filtro esses eventos apenas para aqueles que possuem "DELETE" em seu objeto "Acessos". No entanto, parece haver outro ID de evento, que parece lógico adicionar aos eventos monitorados:
4660: “Um objeto foi excluído”
Pelo que li online, a exclusão de um objeto aciona tanto este evento quanto o evento 4663. E "isso deve ser monitorado em conjunto com 4663, pois este evento não fornece o nome do objeto"
Minha pergunta é; existe algum motivo para eu monitorar o evento 4660, quando já estou monitorando o evento 4663? Como estou interessado apenas na exclusão de objetos, qualquer outra informação sobre esses eventos é descartada. Por outro lado, é possível que eu perca um evento de exclusão se o evento 4660 não for monitorado?
obrigado pela ajuda
Responder1
Eu olharia a documentação deste evento da Microsoft em vez da do ManageEngine, que você podeencontre aqui.
Resumo: Geralmente você pode ignorar 4660, pois 4663 sempre será registrado quando um objeto for excluído. No entanto, você também pode obter um 4663 quando um objeto é renomeado, enquanto você só obtém o ID de evento 4660 quando um objeto é excluído.
A desvantagem é que o evento 4660 não contém o nome do objeto, apenas o ID do identificador que você precisaria correlacionar com um evento 4663.
A maioria das pessoas fica bem apenas monitorando 4.663 eventos.