2

Есть ли способ получить историю файловых операций в Windodws, например, какие папки были перемещены куда, последний переименованный файл, что было удалено и т.д.?

2 ответа2

1

По умолчанию такого журнала нет.


В системе Windows NT администратор может включить аудит файловых операций:

Настройки аудита для каталога

Тем не мение:

  1. Чтобы это работало, необходимо включить "Аудит доступа к объектам" в secpol.msc:

    Secpol: Аудит

    В тот момент, когда вы включите его, вы будете затоплены различными журналами доступа к объектам.

  2. Журналы аудита всей файловой системы очень быстро заполнят журнал безопасности. Я не буду говорить о хитах производительности.

1

Process Monitor от SysInternals может отслеживать и регистрировать все операции с файлами, реестром и сетью.

procmon.exe

Вы должны быть осторожны, хотя. На снимке экрана выше, даже несмотря на то, что он говорит CreateFile все права доступа доступны только для чтения (загружаются библиотеки (DLL)).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .