Windows Server 共享操作日志及分析工具
前言:
作为系统管理员可能会在企业搭建域环境及配置域共享目录,但共享目录的权限设置繁琐,因此大多数子目录都是部门可读可写,怎样审查谁做了新增删除文件成为管理的重点。
其实我们可以通过Windows自带的审计服务完成该工作。
一,首先打开服务管理器,点击本地安全策略
二,在审核对象访问中,配置“成功”,点击确定
三,右击你要共享的文件夹,设置好共享及权限(属性-共享-高级共享)。
然后,点击审核-添加,添加Everyone,权限配置根据自己的需要。(可配置完全访问)
这里我只配置了新增和删除,参考图:
至此,已经配置好Windows指定目录的文件审计了。
我们可以打开windows自带的事件日志查看器,点击安全查看是否成功。
这里日志有记录,但一条条找太过麻烦,可以用到工具:FullEventLogView
https://www.nirsoft.net/utils/full_event_log_view.html
特点在于直观展示、图形化操作,可以将所有类型日志进行整合,便于按照时间统一分析所有日志,此外具有一定的检索功能。
可以分析该主机日志、导出日志、以及连接到远程主机分析日志。
以下为参考配置:
随便写写,凑合看吧~
博客地址:http://www.cnblogs.com/colinliu/
博客版权:本文以学习、记录、分享为目的。欢迎大家转载,但务必注明原文地址,谢谢合作!
博客版权:本文以学习、记录、分享为目的。欢迎大家转载,但务必注明原文地址,谢谢合作!