文件服务器如何启动日志功能知道删除移动是谁干的?
2010-11-08 23:21
330 查看
文件服务器如何启动日志功能知道删除移动是谁干的?
文件服务器如何启动日志功能知道删除移动是谁干的?文件服务器如何启动日志功能,可以详细记录每个用户和连接的读取\运行\写入的各类记录。用户通过映射盘访问服务器上的文件夹,每层文件夹都有不同的权限控制,因为服务器上经常有文件夹被删除或移动,现在我想知道是谁干的,还有时间,有没有什么方案可以实现,环境:win2003server ad client:xp。由于我的文件服务器所处环境是非域网络环境,希望能详细了解 本地策略 审核策略的设置办法和方案.以及其对文件访问的影响程度?回答:根据我的研究,如果您希望记录文件服务器上文件夹或文件的被用户执行的操作,可以通过应用或修改文件服务器上文件或文件夹的审核策略设置来实现。具体的设置方法如下:
1. 打开 Windows 资源管理器。
2. 右键单击要审核的文件或文件夹,单击“属性”,然后单击“安全”选项卡。
3. 单击“高级”,然后单击“审核”选项卡。
4. 要设置新用户或组的审核,请单击“添加”。在“输入要选择的对象名称”中,键入想要的用户或组的名称,然后单击“确定”。
5. 在“应用于”框中单击希望进行审核的位置。
6. 在“访问”框中,通过选中适当的复选框,指出您想要审核的操作:
7. 如果要防止原始对象的后续文件和子文件夹继承这些审核项,请选中“将这些审核项目只应用到这个容器中的对象和/或容器上”复选框。
注意:设置文件和文件夹的审核前,必须通过为对象访问事件类别定义审核策略设置,来启用对象访问审核。如果不启用对象访问审核,在设置文件和文件夹的审核时,将收到错误消息且不会审核任何文件或文件夹。
更多信息请您参考以下文章:
应用或修改本地文件或文件夹的审核策略设置
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/ecf63dcf-17e7-4279-91ff-beb11bd0d688.mspx?mfr=true
根据我的研究,开始审核策略并不会对用户访问共享文件夹速度造成影响。具体应用或修改本地文件或文件夹的审核策略设置方法如下:
1. 打开 Windows 资源管理器。
2. 右键单击要审核的文件或文件夹,单击“属性”,然后单击“安全”选项卡。
3. 单击“高级”,然后单击“审核”选项卡。
4. 要设置新用户或组的审核,请单击“添加”。在“输入要选择的对象名称”中,键入想要的用户或组的名称,然后单击“确定”。
5. 在“应用于”框中单击希望进行审核的位置。
6. 在“访问”框中,通过选中适当的复选框,指出您想要审核的操作:
7. 如果要防止原始对象的后续文件和子文件夹继承这些审核项,请选中“将这些审核项目只应用到这个容器中的对象和/或容器上”复选框。
注意:设置文件和文件夹的审核前,必须通过为对象访问事件类别定义审核策略设置,来启用对象访问审核。如果不启用对象访问审核,在设置文件和文件夹的审核时,将收到错误消息且不会审核任何文件或文件夹。
更多信息请您参考以下文章:
应用或修改本地文件或文件夹的审核策略设置
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/ecf63dcf-17e7-4279-91ff-beb11bd0d688.mspx?mfr=true
关于审核日志记录问题,请您检查516事件的出现频率,以及是否出现560事件。如果您的操作系统为64为的Windows Server 2003,同时出现560事件的话,请您参考以下文章进行排错:
An "event ID 516" audit record may be incorrectly logged when an access attempt to a named pipe occurs in Windows Server 2003 or in Windows XP
http://support.microsoft.com/kb/922769/en-us
Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心
用安全性审核的方法,的确是很实时,但不太实用。日志量太大,目前在windows 2003 上的日志过滤功能不是很好,即便用第三方的工具过滤也不是很容易。(如果您考虑使用第三方工具进行日志过滤,可以尝试 GFI EventsManager http://www.gfi.com/adentry.asp?adv=165&loc=16,但任何日志过滤工具的使用都不可能一蹴而就的满足管理员需求,需要经过不断的调整,这个调整过程将会伴随整个管理生命周期)
关于更多文件服务器的文章请参考:
2003文件服务器配置设置管理活动目录ActiveDirectory域SEO2000|2003 ...
活动目录域: 文件服务器上的共享文件夹打开特慢ActiveDirectory域 ...
活动目录域: 文件服务器windows2003如何防止文件被拷贝ActiveDirectory ...
活动目录域: 文件服务器不建议放在域控制器上ActiveDirectory域SEO2000 ...
---gnaw0725
在服务器上进"本机安全原则","稽核物件存取"设定成"成功",然后到要稽核的共用资料夹上,右键内容,"安全性""高级""稽核"
一项加入USER,选取要稽核的项目如:删除,删除子资料夹及档案..等等.
然后到系统事件的安全性中去查看即可,不过里面的事件太多(就稽核这一项),要查也比较费时.
---willis
相关文章推荐
- windows文件服务器如何启动日志功能知道删除移动是谁干的
- 文件服务器如何启动日志功能知道删除移动是谁干的?
- 文件服务器如何启动日志功能知道删除是谁干的
- 如何用服务器文件管理系统记录共享文件的访问日志、记录共享文件复制、修改、删除和剪切等操作?
- 显示隐藏文件的方法,移动硬盘里的autorun.inf文件夹如何删除,svchost.exe应用程序错误 0x58fc16e2,4。未成功启动Cygwin
- 如何正确删除ORACLE归档日志文件
- 日志文件如何影响我数据库的启动
- 如何删除sql数据库的日志文件
- C#如何:复制、删除和移动文件和文件夹
- 如何删除MySQL的 bin log日志文件
- unity3d移动平台减小安装包专题(1):分析打包的日志文件删除无用文件
- JAVA实现FTP服务器文件的上传,下载,删除功能
- 三条命令解决Git 如何删除远程服务器文件同时保留本地文件
- Sql2012如何将远程服务器数据库及表、表结构、表数据导入本地数据库 自定义日志记录功能,按日记录,很方便 C#常量和字段以及各种方法的语法总结 类型,对象,线程栈,托管堆在运行时的关系,以及clr如何调用静态方法,实例方法,和虚方法 asp.net webapi 自定义身份验证
- 如何:复制、删除和移动文件和文件夹(C# 编程)
- apache Kafka是如何实现删除数据文件(日志)的
- 三条命令解决Git 如何删除远程服务器文件同时保留本地文件
- 这是一个定时脚本,主要功能是遍历该文件夹下的所有文件并存储到数组,对数据中的文件进行操作,一个一个移动到指定的目录下,并删除原有文件
- 如何正确删除Oracle 归档日志文件
- Linux下启动关闭多个tomcat清除logs日志文件删除War包等操作,版2.0