怎么找出删除文件的“凶手”

Windows系统
364
0
0
2022-03-27

“我们公司文件服务器上的一个重要文件被别人删除了,我想查出来是谁删的,这个怎么查?“,类似这样的问题,我最近被问到过很多次,这是用户经常碰到的一个问题。

首先,先说一下答案,如果要记录用户对文件服务器的访问操作,操作系统必须启用“对象审核策略”,

怎么找出删除文件的“凶手”

并且针对文件服务器上的对象配置了审核访问控制列表,换句话说,就是您想监控谁对该对象做了什么类型的访问。

怎么找出删除文件的“凶手”

在满足了这两个前提下,当某个用户对文件服务器上的文件执行读取、修改或删除的操作时,事件是可以记录下来的,这个事件可以通过打开”事件日志查看器“,在”安全“日志中找到。

怎么找出删除文件的“凶手”

怎么找出删除文件的“凶手”

但是如果没有配置对象审核策略,那就不用想了,肯定是查不到的。而默认情况下,系统不会自动启用,必须手工启用。

但接下来又有问题了,即时事件被记录下来了,您也不一定能找到,为什么?一是因为事件日志的文件大小是固定的,如果每天产生大量的日志,那么您想要查询的日志有可能已经被覆盖。二是因为事件日志的量太大,而且阅读起来不是很友好,需要一条挨着一条记录地去找,这样会浪费很多时间。

怎么找出删除文件的“凶手”

哪有什么办法,以后让日志可以永久保存,而且可以更友好的查看,如果能导出报表就更好了。

我给您推荐一款工具,是卓豪公司的“ADaudit Plus”。

ADAP是一款活动目录变更审计和报告软件,通过提取Windows系统中的安全日志数据,并对其进行分析、解析和整理,将有用的数据提炼并保存到数据库中,帮助审计和跟踪Windows活动目录中的所有操作。

它详细记录变更历史,可以对诸如创建,删除和编辑用户/计算机/组/域策略对象等各类管理操作进行审计,报告活动目录所做的变更,并生成丰富而又详尽的报表。从而帮助IT管理员回答“谁在什么时间什么地方执行了什么行为”的问题,满足企业内部审计和外部法规监管的需要。

除了审计活动目录变更,ADAP还可以安全地跟踪文件服务器以了解对文件和文件夹结构、共享和权限中文档的访问、变更。用50余种搜索属性和筛选器(它们基于用户、文件、服务器、共享或自定义报表)查看专属文件审计报表,以获取非常详细的信息。

怎么找出删除文件的“凶手”

下面是部分ADAP提取的文件服务器访问报表截图:

怎么找出删除文件的“凶手”

怎么找出删除文件的“凶手”