iT邦幫忙

1

win2012事件檢視器

各位大大好
情境描述
user的檔案在今天被人莫名其妙竄改,目前已透過win還原以前版本
重點現在要去抓到底是誰幹的?
我用了4656,4663濾
事件檢視器是否可以針對某個floder去看他過往的log?
或者有什麼方式去看ftp 的log?
因為紀錄裡面的關鍵字,似乎無法輸入類似關鍵字這種東西去撈,只能用稽核成功等等幾個功能
感謝各位大大先進不吝賜教,謝謝

1 個回答

0
Sergeyau
iT邦研究生 5 級 ‧ 2018-01-19 09:04:56

只是這一次的話,用SPLUNK的雲端測試把檔案丟進去,就可以檢索了,免去安裝架設。

長期的話,可以試試graylog或ELK等開源的日誌管理軟體

allenjung iT邦新手 5 級 ‧ 2018-01-19 14:43:35 檢舉

檢索過幾次都空的...

Sergeyau iT邦研究生 5 級 ‧ 2018-01-19 22:14:57 檢舉

如果今天你改了一個檔案,日誌上是否會留下你想要的痕跡?如果自己測試沒有,是否logging level 要調整?

allenjung iT邦新手 5 級 ‧ 2018-01-22 16:40:23 檢舉

會留痕跡~~只是現在splunk不知道怎使用很困擾...

我要發表回答

立即登入回答