我想監視 Windows 2016 Datacenter Server 上文件和資料夾的刪除。我已經在監視事件 ID 4663 和事件 ID 4659,其描述如下:
4659:“請求一個物件的句柄,意圖刪除”
4663:“嘗試訪問對象”
我將這些事件過濾為僅那些在「存取」物件中具有「刪除」的事件。然而,似乎還有另一個事件 ID,而添加到受監視的事件似乎是合乎邏輯的:
4660:“一個物件被刪除”
根據我在線上閱讀的內容,刪除物件會觸發此事件以及事件 4663。
我的問題是;當我已經在監視事件 4663 時,我還有什麼理由監視事件 4660 嗎?由於我只對刪除物件感興趣,因此有關這些事件的任何其他資訊都將被丟棄。另一方面,如果不監控事件 4660,我是否有可能錯過刪除事件?
感謝您的協助
答案1
我會查看 Microsoft 的此事件文檔,而不是 ManageEngine 的文檔,您可以在這裡找到。
摘要:您通常可以忽略 4660,因為刪除物件時總是會記錄 4663。但是,當物件被重新命名時,您也可能會收到 4663,而當物件被刪除時,您只會收到事件 ID 4660。
缺點是事件 4660 不包含物件名稱,僅包含需要與 4663 事件關聯的句柄 ID。
大多數人只要監控 4663 事件就可以了。