Windows环境下文件偶发删除跟踪方法

根据微软工程师建议，采用开启文件Audit监控方式跟踪。

一、开启文件Audit
1.找到dll文件存放的文件夹。
2.右键单击此文件夹，然后选择“属性”。
3.转到“安全”选项卡，然后单击“高级”。
4.转到“审计”选项卡，然后单击“继续”。
5.单击“添加”，然后选择要监视的用户或组。
6.在“权限”列表中，选择“删除”和“删除子文件和文件夹”权限，然后单击“确定”。
7.为了以防万一，也可以为dll文件开启Audit，方法与文件夹的一样

二、配置本地安全策略
1.打开“本地安全策略”控制台（可以在“开始”菜单中搜索）。
2. 导航到“安全设置” > “本地策略” > “审计策略”。
3. 双击“对象访问”中的“审核文件系统”，然后选择“成功”和“失败”。
4. 单击“应用”，然后单击“确定”。

 

三、配置完成后等待问题复现，问题复现后按照如下方法检查事件日志
请以管理员权限运行CMD，并执行如下命令，上传c:\下的C:\SYSSUM.NFO和C:\patch.txt日志
msinfo32 /nfo C:\SYSSUM.NFO /categories +systemsummary
wmic qfe list> C:\patch.txt 
并检查C:\Windows\System32\winevt\Logs一整个文件夹