Я установил "Аудит доступа к объектам" на Windows Server 2008-R2. Затем я перешел к определенной папке properties/security/advanced/auditing и добавил запись для "Все" и проверил как "Успешно", так и "Неудачно" для элемента «Создание файлов / Запись данных».
Это все работает нормально, и в Event-Viewer/ Журналы Windows / Безопасность я увижу событие с кодом 4656 с категорией задач "Файловая система" и увижу свой идентификатор пользователя и «Notepad.exe» при редактировании файла в этой папке. в качестве теста. Однако теперь я также вижу тысячи (буквально несколько тысяч - до 50 в секунду) других событий с тем же идентификатором события, но с категорией задач "Доступ к другому объекту" со сведениями, такими как "Запрошен дескриптор объекта", Объектный сервер = "PlugPlayManager", Process = Svchost.exe. Они не существовали до настройки этого аудита.
Итак, я знаю, что могу фильтровать журнал событий по определенным вещам, но не по категории задач, и главная проблема в том, что мне просто наплевать на эти другие события - я просто хочу отследить, кто редактировал файл, точка. Меня не волнуют тысячи (и когда я пишу это, сейчас десятки тысяч) тех других событий. Как я могу остановить эти "Другие события доступа к объектам" и только редактировать файлы аудита? Спасибо