Может кто-нибудь объяснить, почему в событиях аудита файлового сервера есть много событий 4656, даже если файл или папки не были открыты напрямую?
Например, если вы открываете корневой каталог H: , в событиях есть много событий 4656, связанных с папками внутри него. Если вы откроете папку H:\examplefolder\ , у вас будет много событий 4656 для файлов и папок в ней, не трогая их. Спасибо
решение1
Если вы включили аудит для всего, будет много шума. Если включен список папок или атрибуты чтения для файлов, то вы можете захотеть уточнить критерии аудита.
