none
User存取檔案記錄 RRS feed

  • 問題

  • 請問有沒有辦法查詢某個user在一個禮拜之內開啟過File Server上的那些檔案?

    2009年9月7日 上午 07:08

解答

  • 內建的稽核機制可以使用
    但是產生出來的紀錄是要透過事件檢視器來看..需要一筆一筆的去查看(資訊會太多)

    下面動作供你參考

    1.在File Server執行gpedit.msc -> 電腦設定 -> Windows 設定 -> 安全性設定 -> 本機原則 -> 稽核原則 -> 啟動"稽核物件存取"
    2.在你要監控的資料夾上面點右鍵 -> 內容 -> 安全性 -> 進階 -> 稽核 , 在此加入你要稽核的帳號,勾選"讀取屬性"
    3.稽核標籤底下有個"以顯示於此套用到子物件...."的選項要打勾
    4.只要該User有去讀取資料夾裡面的檔案時..就會出現類似下面的事件紀錄 (在事件檢視器 -> 安全性裡面)

    PS:由於安全性的紀錄會很多筆..你可以透過篩選的方式篩選"事件來源" & "物件存取" & "事件識別碼" 來縮小範圍

    --------------------------------------------------------------
    事件類型: 稽核成功
    事件來源: Security
    事件類別目錄: 物件存取
    事件識別碼: 560
    日期:  2009/9/8
    時間:  上午 10:36:53
    使用者:  DFS\administrator
    電腦: DFS2003-3
    描述:
    物件開啟:
      物件伺服器: Security
      物件類型: File
      物件名稱: C:\123\新增WordPad 文件.doc
      處理識別碼: 1824
      操作識別碼: {0,742338}
      程序識別碼: 3384
      影像檔案名稱: C:\WINDOWS\explorer.exe
      主要使用者名稱: administrator
      主網域: DFS
      主要登入識別碼: (0x0,0x33ADB)
    --------------------------------------------------------------

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    • 已標示為解答 Vincent Lin 2009年9月12日 下午 03:29
    2009年9月8日 上午 02:54

所有回覆

  • 內建的稽核機制可以使用
    但是產生出來的紀錄是要透過事件檢視器來看..需要一筆一筆的去查看(資訊會太多)

    下面動作供你參考

    1.在File Server執行gpedit.msc -> 電腦設定 -> Windows 設定 -> 安全性設定 -> 本機原則 -> 稽核原則 -> 啟動"稽核物件存取"
    2.在你要監控的資料夾上面點右鍵 -> 內容 -> 安全性 -> 進階 -> 稽核 , 在此加入你要稽核的帳號,勾選"讀取屬性"
    3.稽核標籤底下有個"以顯示於此套用到子物件...."的選項要打勾
    4.只要該User有去讀取資料夾裡面的檔案時..就會出現類似下面的事件紀錄 (在事件檢視器 -> 安全性裡面)

    PS:由於安全性的紀錄會很多筆..你可以透過篩選的方式篩選"事件來源" & "物件存取" & "事件識別碼" 來縮小範圍

    --------------------------------------------------------------
    事件類型: 稽核成功
    事件來源: Security
    事件類別目錄: 物件存取
    事件識別碼: 560
    日期:  2009/9/8
    時間:  上午 10:36:53
    使用者:  DFS\administrator
    電腦: DFS2003-3
    描述:
    物件開啟:
      物件伺服器: Security
      物件類型: File
      物件名稱: C:\123\新增WordPad 文件.doc
      處理識別碼: 1824
      操作識別碼: {0,742338}
      程序識別碼: 3384
      影像檔案名稱: C:\WINDOWS\explorer.exe
      主要使用者名稱: administrator
      主網域: DFS
      主要登入識別碼: (0x0,0x33ADB)
    --------------------------------------------------------------

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    • 已標示為解答 Vincent Lin 2009年9月12日 下午 03:29
    2009年9月8日 上午 02:54
  • 微軟內建的Audit必須定期至event log去查看結果
    如果想要產生報表或是自訂排程報表, 就必須依賴其他報表軟體
    若要去辨視event log所記錄的內容, 更是花費精神

    所以會比較建議使用其他專門做檔案稽核的軟體來達到你想要的目的
    市面上有許多做這類稽核的軟體, 你可以上網搜尋看看
    我用過PowerAdmin FightSight這套, 覺得功能還蠻不錯的, 可以試看看

    http://www.poweradmin.com.tw ,他們有提供試用版
    2009年11月25日 上午 04:11