Есть ли способ получить историю файловых операций в Windodws, например, какие папки были перемещены куда, последний переименованный файл, что было удалено и т.д.?
2
2 ответа
1
По умолчанию такого журнала нет.
В системе Windows NT администратор может включить аудит файловых операций:
Тем не мение:
Чтобы это работало, необходимо включить "Аудит доступа к объектам" в
secpol.msc:
В тот момент, когда вы включите его, вы будете затоплены различными журналами доступа к объектам.
Журналы аудита всей файловой системы очень быстро заполнят журнал безопасности. Я не буду говорить о хитах производительности.
1
Process Monitor от SysInternals может отслеживать и регистрировать все операции с файлами, реестром и сетью.
Вы должны быть осторожны, хотя. На снимке экрана выше, даже несмотря на то, что он говорит CreateFile все права доступа доступны только для чтения (загружаются библиотеки (DLL)).