我正在使用的應用程式意外地從資料夾中刪除了一些資料檔案。
在 Windows 7 中是否可以提取該資料夾的某種日誌,以查看檔案何時被刪除以及什麼命令刪除了它們?
答案1
您需要在本機群組原則和特定資料夾設定中配置一些設定。請按照以下步驟追蹤已刪除的檔案。它可以為您帶來文件被刪除時的時間戳記以及刪除文件的用戶帳戶等資訊。
執行 > gpedit.msc > 電腦設定 --> Windows 設定 --> 安全性設定 --> 本機原則 --> 審核原則 --> 審核物件存取 > 啟用「成功」審核。現在開啟命令提示字元並執行「gpupdate /force」命令以使群組原則設定生效。
本機GPO 就位後,前往要監視的資料夾,右鍵點選並前往屬性:點選安全性標籤> 進階> 審核標籤> 編輯> 新增> 然後新增有權存取該資料夾的群組> 選擇“刪除資料夾和子資料夾檔案”和“刪除”,然後按一下確定 --> 選擇替換所有現有的可繼承審核條目,以對“所有子資料夾和檔案”套用審核,然後按確定
現在,刪除一些測試檔案並使用關鍵字「DELETE」過濾事件 ID 4660 和事件 ID 4663 將讓您了解更多詳細資訊。
希望這可以幫助。