如果不花錢, 可以先用系統內建的功能來做:
找出亂砍檔案的兇手:『稽核原則』
但是你也要有時間去瀏覽那一大堆 Log, 保證可以耗上你一整天的時間.
如果您的時間寶貴, 請考慮導入微軟的 System Center Operation Manager (SCOM), 它可以幫你製作出非常詳盡的報表, 只要看報表就可以一目了然.
如果沒有經費的話...
您可以改一改我寫的 HTA ,
http://tomliu888.blogspot.com/2011/06/windows-csv.html
應該就可以很容易抓到兇手
描述裡的文字,會全部存在 Message 屬性中,配合用 SQL 語法,就可以很快找到...
當然,我的程式只是把 Event Dump 到 CSV 裡,您可以改成直接 Popup msgbox
我也是寫隻小程式去處理
vb.net只要有在資料夾下有刪除之動作就會登記該IP何年何月何日刪除什麼樣的資料
你可參考看看
iThome鐵人賽
看影片追技術