Я установил "Аудит доступа к объектам" на Windows Server 2008-R2. Затем я перешел к определенной папке properties/security/advanced/auditing и добавил запись для "Все" и проверил как "Успешно", так и "Неудачно" для элемента «Создание файлов / Запись данных».

Это все работает нормально, и в Event-Viewer/ Журналы Windows / Безопасность я увижу событие с кодом 4656 с категорией задач "Файловая система" и увижу свой идентификатор пользователя и «Notepad.exe» при редактировании файла в этой папке. в качестве теста. Однако теперь я также вижу тысячи (буквально несколько тысяч - до 50 в секунду) других событий с тем же идентификатором события, но с категорией задач "Доступ к другому объекту" со сведениями, такими как "Запрошен дескриптор объекта", Объектный сервер = "PlugPlayManager", Process = Svchost.exe. Они не существовали до настройки этого аудита.

Итак, я знаю, что могу фильтровать журнал событий по определенным вещам, но не по категории задач, и главная проблема в том, что мне просто наплевать на эти другие события - я просто хочу отследить, кто редактировал файл, точка. Меня не волнуют тысячи (и когда я пишу это, сейчас десятки тысяч) тех других событий. Как я могу остановить эти "Другие события доступа к объектам" и только редактировать файлы аудита? Спасибо

1 ответ1

0

Хорошо, я собирался удалить вопрос, но думаю, что у других может возникнуть тот же вопрос. То, что мне нужно было сделать, это перейти вниз в узле "Advanced Configuration Policy Configuration" локальной политики безопасности и сделать две вещи:

  1. Перейдите в "Доступ к объектам" и выберите "Аудит файловой системы" -> "Свойства" -> "Настроить следующие события" -> "Проверить успешность и неудачу".

  2. В Доступе к объекту перейдите к Манипуляции с дескрипторами аудита -> Свойства. Здесь я делаю немного по-другому - я выбрал "Настроить следующие события", и я тоже НЕ проверял, я просто закрыл окно. Затем он изменяет статус с "Не настроен" (что, по-видимому, означает "все равно проводить аудит") на "Нет аудита".

Я надеюсь, что это помогает кому-то. Теперь я вижу только мои события редактирования файла. (Обратите внимание, что это в дополнение к первоначальному действию настройки доступа к объекту аудита и, конечно, перехода к самой папке, в Свойства, Дополнительно и т.д., А также к настройке вкладки Аудит)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .