none
文件服务器开启审核对象访问日志的困恼 RRS feed

  • 问题

  • 文件服务器开启审核对象访问日志的困恼

    首选尝试2种方法开启,但是日志量很吓人,设置10G容量只能存储3-4天左右时间,很多读取日志是不需要的,只要记录删除文件/文件夹、更改文件/文件夹就行;

    第一种方法:组策略--计算机配置-Windows设置-安全设置-高级审核策略配置-系统审核策略-对象访问-审核详细的文件共享-开启成功失败记录

    第二种方法:组策略--计算机配置-Windows设置-安全设置-本地策略-审核策略-审核对象访问开启成功记录,然后在顶端公共盘文件夹--属性-安全-高级-审核-添加everyone-高级权限里面只勾选“删除”、“删除子文件夹及文件”“创建文件/写入数据”“创建文件夹/附加数据”勾选4个后,在勾选“仅将这些审核设置应用到此容器中的对象/容器”然后保存,等待策略生效观察,读取的日志还是很多。

    例如:A/B/C/D/E.doc 访问e.doc文件,会生成5个日志文件读取,其实员工并没有编辑修改,只读而已。
    我是想如果对E.doc编辑保存后才生成日志,这样可以节省大量时间查找。

    2020年4月2日 3:06

全部回复

  • 你好,

    根据我的调查,如你所说,在设置文件和文件夹的审核之前,必须启用对象访问审核。

    如果您未启用对象访问审核,则在设置文件和文件夹审核时会收到错误消息,并且不会审核任何文件或文件夹。

    因为审核会产生大量的日志,所以需要谨慎的选择需要审核的文件文件夹。

    另外,请考虑要分配给安全日志的磁盘空间量。 安全日志的最大大小在事件查看器中定义。

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年4月2日 8:26
  • 你好!

    我是有开启审核访问对象,目前是采用上述第二种方法,有先开启“审核访问对象”成功选项后,在文件夹安全选项也开启审核功能。也是按照你提供链接操作的,主要的问题是大量“读取”日志生成很多,实际我设置只有删除和新增修改审核功能,并没有开启读取公共盘文件/文件夹记录日志

    如下2张图都是记录读取,日志量都是这种占用很多,这种读取日志如何取消不要记录呢?

    能理解我的意思吗?如果方便请加一下QQ 125864500 

    2020年4月3日 6:00
  • 你好,

    您解释的非常清楚,可以理解您表达的意思。
    我的理解是因为我们第一步开启的就是审核访问对象,所以可能没有办法避免这些读取日志的记录。
    还有一个办法仅供参考:使用Procmon
    操作:筛选SetSecurityFile(使用“ is”条件)。 这将显示任何在文件或目录上修改ACL的事件。
    路径:将此设置为您的临时文件夹的路径。 如果您的路径是c:\ path \ to \ temp,请输入该路径。 再次使用“是”条件,但是如果要查看对子文件夹的ACL更改,可以使用“开头为”条件。
    如果需要长时间运行,则很可能希望在“工具”菜单上启用“丢弃筛选的事件”选项。
    使用Procmon的好处在于,它无需预先配置即可轻松下载和运行,而却需要始终保持运行状态。

    Fan



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年4月3日 7:28
  • 您好!

    由于该帖长时间未有响应。我们将把之前的回复标记为答复。如果您需要我们的继续协助,您可以随时在该帖下回复,同时您可以根据实际情况取消作为答复。

    感谢您的理解与支持。

    Best Regards,

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年4月8日 8:02