iT邦幫忙

0

windows server event

各位好,
我目前需要抓microsoft server 2012 R2上的安全性紀錄去找檔案是被誰砍掉的
我的設定如下
https://ithelp.ithome.com.tw/upload/images/20190719/20108361P34qSP7NNd.jpg
然後我找一個時間有測試增加一個檔案 刪除一個檔案 (以下LOG用VB寫的)
https://ithelp.ithome.com.tw/upload/images/20190719/20108361IUKm7d6I33.jpg
接下來我在紀錄檔裡面就有點混亂了/images/emoticon/emoticon06.gif...一堆事件 我也不確定對不對..
https://ithelp.ithome.com.tw/upload/images/20190719/20108361DAY3rLqpNy.jpg

我目前的想法是用微軟提供的 dumpel.exe 去抓特定識別碼 ...
請問 刪除/建立/修改 各對應的識別碼應該如何抓取?

謝謝~~


補:用dumpel抓出來的
https://ithelp.ithome.com.tw/upload/images/20190719/20108361nxPQj6lsSJ.jpg

eventid 4656, 4658, 4663,4690
EventRecordID
SubjectLogonId
SubjectUserName
HandleId
SourceHandleId
TargetHandleId

尚未有邦友回答

立即登入回答