Возможности аудита Windows Server
Мне было любопытно, если бы можно было проверить общий файловый ресурс на Windows Server 2012 для копии. Как можно отличить скопированный файл, а не прочитанный файл, основываясь на событиях, которые они отправляют в журнал событий? Есть ли определенный шаблон, который копирует файл с точки зрения чтения и записи?
Спасибо за помощь!
1 ответ
На уровне доли нет. Это связано с тем, что акции не имеют системных ACL. Но вы можете включить аудит на уровне файловой системы для доступа на запись в общую папку. Обратитесь к следующему тексту справки для настройки расширенной политики аудита> Доступ к объектам:
Файловая система
Этот параметр политики позволяет контролировать попытки пользователей получить доступ к объектам файловой системы. Событие аудита безопасности генерируется только для объектов, для которых заданы списки управления доступом к системе (SACL), и только в том случае, если запрашиваемый тип доступа, например, "Запись", "Чтение" или "Изменение", и учетная запись, выполняющая запрос, соответствуют параметрам в SACL. Дополнительные сведения о включении аудита доступа к объектам см. По http://go.microsoft.com/fwlink/?LinkId=122083.
При настройке этого параметра политики событие аудита генерируется каждый раз, когда учетная запись обращается к объекту файловой системы с соответствующим SACL. Аудиты успеха регистрируют успешные попытки, а аудиты ошибок регистрируют неудачные попытки. Если этот параметр политики не настроен, событие аудита не создается, когда учетная запись обращается к объекту файловой системы с соответствующим SACL.
Примечание. Вы можете установить SACL для объекта файловой системы, используя вкладку "Безопасность" в диалоговом окне "Свойства" этого объекта.
Том: зависит от того, как настроены SACL файловой системы.