2008 R2 事件檢視裡的自訂檢視問題

事件檢視器

tonikukoc 2019-03-26 15:30:31 ‧ 2510 瀏覽

各位大大好：
近日公司主管要求紀錄File Server上的某個資料夾存取(新增、刪除、剪下、複製)情況，而且是在不另外花錢且不需要安裝其他第三方軟體的情況下紀錄，我也只想到使用稽核的方式，但在自訂檢視裡面，我發現工作類別是反白無法被輸入的，因為我只要"詳細檔案共用"這個工作類別就好，不知道要從哪裡去設定?
另外，因為原本File Server上就有對所有共用檔案作存取稽核，有辦法在事件檢視的自訂檢視裡設定只篩選出特定資料夾的稽核紀錄嗎?

看更多先前的討論...收起先前的討論...

Ray iT邦大神 1 級 ‧ 2019-03-26 15:32:04 檢舉

我沒用過 2002 R2, 幫不上忙...

michaelwan iT邦高手 1 級 ‧ 2019-03-26 15:45:14 檢舉

所以發文前還是要尊重一下自己文章的內容有沒有明顯的錯誤.

tonikukoc iT邦新手 4 級 ‧ 2019-03-26 15:54:52 檢舉

抱歉不好意思，已修正錯誤的標題，造成困擾，真的十分抱歉。

台灣蕃薯 iT邦新手 1 級 ‧ 2019-03-26 16:17:23 檢舉

Windows Server 2012 稽核刪除檔案的紀錄
https://www.752club.com/en/windows-server-2012-audit-delete-file-record/

這一篇看看有沒有幫助！

michaelwan iT邦高手 1 級 ‧ 2019-03-27 10:17:02 檢舉

物件名稱的資訊是放在MESSAGE欄位裡的, 自定檢視沒有釘對MESSAGE欄位,但可以用關鍵字搜尋.
以前我們克勤克儉, 是用LOGPARSER去出一份存取清單.

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

sam0407

iT邦大師 1 級 ‧ 2019-03-27 10:00:57

最佳解答

　　這個功能以前我試過，就是類似taiwanbrian大推文裡的作法，純粹只能說是應付長官用，個人建議還是要找第三方軟體來作，原因如下：
1.　要從Log裡查出"新增/刪除"應該OK的，但"剪下/複製"就有點困難，因為"剪下"在Log裡看到的是"讀取+刪除"兩條記錄，而複製只會記錄到"讀取"這個動作，再加上使用者正常的讀取，混在一起是很難判定是否為"剪下/複製"。
2.　記錄很簡單，查詢就真的很痛苦，您先把檔案新建/刪除/讀取的稽核開起來，自己看就知道了，真＊＊(消音)不是人看的。