iT邦幫忙

0

為什麼我開啟刪除檔案的稽核,卻沒有記錄??

我參考的資料如下
http://japlinchen.blogspot.com/2008/12/fileserver-active-directory.html

為什麼在事件檢視器中沒有相關記錄
還是說,在本機原則中要開啟一些設定???
(非網域電腦)

2 個回答

0
michaelwan
iT邦高手 1 級 ‧ 2011-08-19 16:54:47
最佳解答

ghost234提到:

還是說,在本機原則中要開啟一些設定???
(非網域電腦)

是的, 要把稽核原則打開.

看更多先前的回應...收起先前的回應...
ghost234 iT邦新手 4 級 ‧ 2011-08-19 17:06:58 檢舉

說的是這個嗎?
Q__Q
我自已在測試時
將全部都開啟

然後試著新增刪除動作
但事件中沒有東西..........

raytracy iT邦大神 1 級 ‧ 2011-08-19 17:34:37 檢舉

ghost234提到:
然後試著新增刪除動作
但事件中沒有東西..........

你的硬碟格式是 NTFS 嗎? 只有 NTFS 的 Partition 才能夠被稽核....

ghost234 iT邦新手 4 級 ‧ 2011-08-26 09:10:14 檢舉

是ntfs

事件類型: 稽核成功
事件來源: Security
事件類別目錄: 物件存取
事件識別碼: 567
日期: 2011/9/2
時間: 下午 04:19:04
使用者: XXXXX\Administrator
電腦: XXXXX
描述:
物件存取嘗試:
物件伺服器: Security
處理識別碼: 260
物件類型: File
程序識別碼: 1116
影像檔案名稱: C:\WINDOWS\system32\notepad.exe
存取: WriteData (或 AddFile)
AppendData (或 AddSubdirectory 或 CreatePipeInstance)

存取遮罩: 0x6

請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

2
raytracy
iT邦大神 1 級 ‧ 2011-08-19 16:43:03

那邊文章下面有一段字, 你有沒有去執行?

注意:在設定資料夾和文件的稽核之前,必須通過為 對象訪問事件類別 定義稽核策略設置,來啟用 對象訪問審核。如果不啟用 對象訪問審核,在設置文件和資料夾的稽核時,將收到錯誤消息且不會稽核任何文件或資料夾

沒做的話, 等於沒有啟動稽核機制....

ghost234 iT邦新手 4 級 ‧ 2011-08-19 16:50:56 檢舉

^^|

有看就是因為太文言文了有看沒有懂...........

才上來請教q__q

我要發表回答

立即登入回答