У нас только что был инцидент, когда некоторые случайные файлы были удалены на сервере. Я уже настроил аудит, но поскольку я всего лишь разработчик, я хочу убедиться, что я все сделал правильно:
- На вкладке «Безопасность папки» нажмите «Дополнительно/Аудит».
- Введен пользователь "Все"
- Отметьте «Удалить» и «Удалить подпапки и файлы».
Файлы (почти) никогда не должны удаляться, поэтому я ожидаю, что этот аудит не повлияет на производительность этого файлового сервера.
Эти аудиты должны быть в eventvwr/Security, верно?
Извините, если вопрос слишком простой, но мне совершенно необходимо на него ответить...
решение1
В точку!,http://technet.microsoft.com/en-us/library/cc784387%28WS.10%29.aspx
Вам просто нужно указать, хотите ли вы провести аудит успешного удаления, или неудачного удаления, или и того, и другого. Оба варианта показывают множество журналов событий, но полезны для отслеживания злоумышленников или глючных утилит.
Обратите внимание: перед настройкой аудита файлов и папок необходимовключить аудит доступа к объектам, определив параметры политики аудита для категории событий доступа к объектам. Если вы не включите аудит доступа к объектам, вы получите сообщение об ошибке при настройке аудита для файлов и папок, и никакие файлы или папки не будут проверяться.