Мне было поручено провести аудит одной папки, которая находится на файловом сервере. Аудит означает
- как пользователь может получить доступ к этой папке
- любые изменения
- Редактировать
- Новый
- Удалить файлы и папки
необходимо записать.
Я знаю, что это можно сделать с помощью местного врача общей практики в политике аудита, но хочу узнать, какжурнал событий безопасностиможно фильтровать только для этой конкретной папки.
Я также хотел бы узнать, можно ли использовать стороннее программное обеспечение для получения отчета о том, что произошло в этой папке.
решение1
Пример пользовательского фильтра просмотра событий для отображения событий для папки C:\TEST:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="ObjectName"] = "C:\TEST"]]</Select>
</Query>
</QueryList>
Вы также можете выполнить аналогичную пользовательскую фильтрацию с помощью Get-WinEvent для извлечения данных.