Это можно сделать с помощью ведения журнала аудита безопасности для файла и для соответствующих каталогов ("папок").
Сначала запустите групповую политику (gpedit.msc
) от имени администратора. На левой панели перейдите к Конфигурация компьютера | Настройки Windows | Настройки безопасности | Местные Политики | Аудиторская политика. На правой панели установите оба параметра "Аудит доступа к объектам" и "Аудит отслеживания процессов", чтобы включить его при успехе. (Нет особого смысла в аудите при сбое, поскольку неудачные попытки доступа не приведут к перемещению файла!)
ИЛИ - если вы работаете в Windows 7 или более поздней версии, вы можете сделать это следующим образом: На левой панели перейдите к Конфигурация компьютера | Настройки Windows | Настройки безопасности | Расширенная Аудиторская Политика | Политики системного аудита. В разделе "Подробное отслеживание" включите "Создание процесса аудита" для успеха. В разделе "Доступ к объектам" включите "Аудит файловой системы" для успеха. Этот метод будет генерировать несколько меньше ложных записей в вашем журнале событий. ПРИМЕЧАНИЕ. Если в разделе "Расширенная политика аудита" для чего-либо установлено значение, отличное от "Не настроено", то здесь также лучше вносить последующие изменения, а также настраивать параметры как здесь, так и в описанной менее детальной "Политике аудита" в предыдущем абзаце могут дать странные результаты.
Далее: в проводнике перейдите в исходный каталог перемещения. Щелкните правой кнопкой мыши каталог, выберите "Свойства", затем вкладку "Безопасность", затем нажмите "Дополнительно" (почти все, что стоит, всегда находится под вкладкой "Дополнительно" или кнопкой ...). Перейдите на вкладку "Аудит", затем "Продолжить", затем "Добавить". Получившееся диалоговое окно будет выглядеть так же, как и для добавления записи в "список разрешений", но в этом случае созданная вами запись (ы) определит, что указанные операции должны быть проверены, т.е. будут созданы записи журнала аудита. для них.
Для "Принципала" используйте группу "Все". Для "Типа" вы, вероятно, хотите только "успеха" (опять же, неудачные попытки, очевидно, не будут перемещать файлы). «Относится к:» выберите «Эта папка, подфайлы и файлы». Выберите все "расширенные права".
Повторите для каталога назначения.
Если рассматриваемый файл уже существует в исходном каталоге, вы можете включить аудит только для этого файла, а не для каталога, в котором он находится (но включить его и для каталога назначения).
Все успешные попытки доступа к каталогу (-ам) или файлу, если вы включили аудит на этом уровне, теперь будут отражены в журнале безопасности.
Для просмотра записей аудита перейдите в раздел «Управление компьютером», «Системные инструменты | Просмотр событий», «Журналы Windows» и выберите журнал безопасности. Соотнесите записи журнала для доступа к файлу / каталогу с записями создания процесса.
Записи аудита часто занимают минуту или две, чтобы появиться в окне просмотра событий. Не бойтесь использовать Refresh несколько раз.
Примечание. Записи журнала аудита безопасности для "доступа к объектам" (включая файлы) указывают только время, в которое объекты были открыты для доступа, а не время, когда они фактически выполнялись, и не конкретные операции.
Например: если кто-то открывает файл для чтения и записи, создается запись аудита. Последующие фактические чтения и записи в файл не генерируют записи аудита. И из журнала аудита невозможно будет определить, был ли файл действительно записан - только то, что он был открыт таким образом, чтобы разрешить запись. Чтобы получить эти детали, вам нужно использовать Process Monitor, как описано Майком Накисом.