Узнаем кто удалил файл на файловом сервере.

Уже много раз моя дырявая голова теряет из виду простейшие инструменты. Сегодня речь пойдёт об аудите объектов Windows Server 2008 R2.

Цель: настроить простой мониторинг файлов на сервере, чтобы знать кто какой файл записал, а кто какой удалил.

Узнать кто удалил файл или создал можно по имени пользователя в домене или рабочей группы (или на компьютере), по имени компьютера (если удаление или создание было произведено удаленно по сети).

Внимательно соблюдайте последовательность, описанную далее и на иллюстрации.

Для создания самой возможности аудита объектов (файлов и папок) переходим в «панель управления» — «администрирование» — «локальная политика безопасности».
В оснастке выбираем — локальные политики — политики аудита.
Нас интересует — Аудит доступа к объектам. Ставим «успех».

Теперь идём к файлам и папкам.

Правой кнопкой на нужной папке (для которой будет проводить мониторинг аудит) — вкладка БЕЗОПАСНОСТЬ — кнопка ДОПОЛНИТЕЛЬНО — вкладка АУДИТ — кнопка ИЗМЕНИТЬ — добавляете группу пользователей ВСЕ (или по желанию конкретных) — ставим галку «заменить все наследуемые элементы …» — в новом окне выбираем «Для этой папки, ее подпапок и файлов» (при необходимости) — выбираем все права — галочки «применять этот аудит к объектам и контейнерам только внутри этого контейнера» не ставим (потому что аудит тогда будет проводиться только для файлов и папок внутри нужной нам, а не для всех файлов и всех подпапок).

Далее везде жмём ОК, и переходим к созданию фильтра для просмотра событий.

Переходим к журналам событий Windows:

Диспетчер сервера — Диагностика — Просмотр событий — Журналы Windows — Безопасность.
Справа выбираем пункт — Фильтр текущего представления.
И настраиваем фильтр в моём случае на удаление файлов: код события 4663.

В итоге мы должны увидеть события различного рода, в том числе и удаленных файлов и папок.

Инструмент мониторинга используется штатный, т.е. встроеный в винду, поэтому и отчеты такого рода 🙂 но это лучше, чем ничего.

Добавить комментарий