Windows Server 共享操作日志及分析工具

前言:

作为系统管理员可能会在企业搭建域环境及配置域共享目录,但共享目录的权限设置繁琐,因此大多数子目录都是部门可读可写,怎样审查谁做了新增删除文件成为管理的重点。

其实我们可以通过Windows自带的审计服务完成该工作。

 

一,首先打开服务管理器,点击本地安全策略

 

二,在审核对象访问中,配置“成功”,点击确定 

 

三,右击你要共享的文件夹,设置好共享及权限(属性-共享-高级共享)。

然后,点击审核-添加,添加Everyone,权限配置根据自己的需要。(可配置完全访问)

这里我只配置了新增和删除,参考图:

 

至此,已经配置好Windows指定目录的文件审计了。

 

我们可以打开windows自带的事件日志查看器,点击安全查看是否成功。

 

这里日志有记录,但一条条找太过麻烦,可以用到工具:FullEventLogView

 https://www.nirsoft.net/utils/full_event_log_view.html

特点在于直观展示、图形化操作,可以将所有类型日志进行整合,便于按照时间统一分析所有日志,此外具有一定的检索功能。

可以分析该主机日志、导出日志、以及连接到远程主机分析日志。

以下为参考配置:

 

随便写写,凑合看吧~

 

posted @ 2023-07-04 12:02  Colin.liu  阅读(2541)  评论(0编辑  收藏  举报