Приложение, над которым я работаю, неожиданно удалило некоторые файлы данных из папки.
Возможно ли в Windows 7 открыть какой-либо журнал для этой папки, чтобы увидеть, когда были удалены файлы и какая команда их удалила?
решение1
Вам необходимо настроить несколько параметров в локальной групповой политике и в параметрах конкретной папки. Пожалуйста, следуйте приведенным ниже шагам для отслеживания удаленных файлов. Это может предоставить вам такую информацию, как временная метка, когда файл был удален, и учетная запись пользователя, который удалил файл.
Запустить > gpedit.msc > Конфигурация компьютера --> Параметры Windows --> Параметры безопасности --> Локальные политики --> Политика аудита --> Аудит доступа к объектам > включить аудит «Успех». Теперь откройте командную строку и выполните команду «gpupdate /force», чтобы параметры групповой политики вступили в силу.
После того, как локальный объект групповой политики будет создан, перейдите в папку, которую вы хотите отслеживать, щелкните правой кнопкой мыши и выберите свойства: щелкните вкладку «Безопасность» > «Дополнительно» > «Аудит» > «Изменить» > «Добавить» > затем добавьте группу, которая имеет доступ к этой папке > выберите «Удалить папки и файлы подпапок» и «Удалить» и нажмите «ОК» --> выберите «Заменить все существующие наследуемые записи аудита», чтобы применить аудит ко «Всем подпапкам и файлам» и нажмите «ОК».
Теперь удалите какой-нибудь тестовый файл и отфильтруйте события с идентификатором 4660 и 4663 по ключевому слову «УДАЛИТЬ», чтобы узнать больше подробностей.
Надеюсь это поможет.