我被要求審核文件伺服器中的一個資料夾。審核手段
- 使用者如何存取該資料夾
- 任何變化
- 編輯
- 新的
- 刪除檔案和資料夾
需要記錄。
我知道這可以使用審計策略中的本地 GP 來完成,但想知道如何安全事件日誌只能針對該特定資料夾進行過濾。
我還想知道是否可以使用任何第三方軟體來提取有關此資料夾中發生的情況的報告。
答案1
用於顯示資料夾 C:\TEST 事件的自訂事件檢視器篩選器範例:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="ObjectName"] = "C:\TEST"]]</Select>
</Query>
</QueryList>
您也可以使用 Get-WinEvent 執行類似的自訂篩選來擷取資料。