Я хочу отслеживать удаление файлов и папок на сервере Windows 2016 Datacenter Server. Я уже отслеживаю события с идентификатором 4663 и 4659, которые имеют следующее описание:
4659: «Дескриптор объекта был запрошен с намерением удалить»
4663: «Была предпринята попытка доступа к объекту»
Я фильтрую эти события, оставляя только те, у которых в объекте "Accesses" есть "DELETE". Однако, похоже, есть еще один идентификатор события, который кажется логичным добавить к отслеживаемым событиям:
4660: «Объект был удален»
Из того, что я прочитал в интернете, удаление объекта запускает как это событие, так и событие 4663. И «это следует отслеживать совместно с 4663, поскольку это событие не предоставляет имя объекта».
( Источник:https://www.manageengine.com/products/active-directory-audit/kb/object-access-events/event-id-4660.html)
Мой вопрос: есть ли смысл мне отслеживать событие 4660, когда я уже отслеживаю событие 4663? Поскольку меня интересует только удаление объектов, любая другая информация об этих событиях отбрасывается. С другой стороны, возможно ли, что я могу пропустить событие удаления, если событие 4660 не отслеживается?
спасибо за помощь
решение1
Я бы посмотрел на документацию Microsoft по этому событию вместо ManageEngine, которую вы можете найтинайти здесь.
Резюме: Обычно вы можете игнорировать 4660, так как 4663 всегда регистрируется при удалении объекта. Однако вы также можете получить 4663 при переименовании объекта, тогда как идентификатор события 4660 вы получаете только при удалении объекта.
Недостатком является то, что событие 4660 не содержит имени объекта, а только идентификатор дескриптора, который вам нужно будет соотнести с событием 4663.
Большинству людей достаточно просто отслеживать 4663 события.