Иногда бывает нужно ответить на вопрос — кто удалил файл с сетевого диска или кто последний внес туда изменения? Решить эту задачу можно двумя способами. Можно взять специальную программу, которая собирает всю статистику и сохраняет в свой лог, а можно воспользоваться стандартными средствами Windows.
БОльшая часть нормальных сторонних программ платные, а бесплатные либо не предоставляют исчерпывающий функционал, либо работают не совсем корректно на последних версиях ОС Windows, таких как Server 2008 R2.Для включения аудита доступа к файлам на Windows сервере необходимо:
1. Зайти в Панель УправленияАдминистрированиеЛокальные политики безопасности
2. Включить аудит доступа к объектам
3. Включить детальный аудит доступа к интересующим нас вещам
4. Теперь в Журнале событий в разделе Безопасность можно увидеть записи с ID 5145. Если открыть отдельно взятую запись журнала, то там будет многоинформации о том — кто, когда, с какого компьютера производил действия над файлов.
Вот примеры записей при различных действиях над файлом.
Создание, редактирование файла:
Чтение файла:
Удаление файла:
Если вы хотите использовать эти средства аудита, то желательно увеличить максимально возможный объем файла журнала, потому что стандартных 20 Мб может не хватить на нужную глубину давности, особенно это касается больших файловых серверов.
Огромый недостаток этого способа заключается в том, что найти нужную запись в журнале среди тысяч других записей весьма не просто даже пользуясь поиском.
Однако, есть программы сторонних разработчиков, которые реализуют в себе хороший аудит доступа к файлам и предоставляют человеческий интерфейс поиска и составления отчетов по заданным критериям. Смотрите Аудит доступа к файлам на Windows сервере — Часть 2.