none
關於audit folder的問題 RRS feed

  • 問題

  • 大家好

    今天我在做一個audit的測試,我在一個folder裡面新增一個檔案,然後設定audit這個folder,不過當我去event log看的時候,始終都只看到read data的log,

    都沒有看到write data的log,檢查過它的audit也有往下繼承,這樣蠻奇怪的,請問還有哪裡沒注意到的嗎?謝謝。

    2013年1月28日 上午 02:34

解答

  • 我研究了一下, 的確2003沒有我那頁所說的選項, 只能用舊式的audit policy (研究過程中發現bug還蠻多的...)

    首先我想到, 你的Audit entries會不會不包含 files? (This Folder, Subfolder, and files)

    假設設定沒有錯, 原來同樣是DELETE event,也會出現在不同的Event ID裡, 這篇有稍為說明:

    http://blogs.msdn.com/b/ericfitz/archive/2006/10/26/how-are-object-access-events-generated.aspx


    邊幫助, 邊鍛鍊

    • 已提議為解答 AChange 2013年1月30日 上午 08:05
    • 已標示為解答 Andy ChenModerator 2013年1月31日 上午 12:04
    2013年1月29日 上午 10:32

所有回覆

  • 請確認你需要Audit的項目正確, 我想你要啟動的audit項目應該是Audit File System

    這樣才能得到諸如Modify, Delete等的事件


    邊幫助, 邊鍛鍊

    2013年1月28日 上午 04:44
  • 你好,我看了一下群組原則裡面,windows 2003 沒有audit file system 這個選項,只有audit object access。
    2013年1月29日 上午 03:11
  • 請問你是看到不同種類的log, 例如DELETE, READ ACCESS, 還是出你只是見到READ?

    邊幫助, 邊鍛鍊

    2013年1月29日 上午 04:17
  • 我剛試了一下,如果我把第二層的folder刪除,log上就真的會看到一筆delete的log。

    但是我把第二層裡面的檔案刪除,反而就只會show出我有read到這個folder,但是並不會有delete這個檔案的log,這樣有點奇怪?

    2013年1月29日 上午 06:09
  • 我剛試了一下,發現如果我把第二層的folder刪除,log上就會產生一筆delete的log,

    但是如果我把第二層裡面的檔案刪除,log上反而只產生了我有read這個folder的log,但是並沒有delete檔案的log,

    這樣有點奇怪?

    2013年1月29日 上午 06:11
  • 你好,我看了一下群組原則裡面,windows 2003 沒有audit file system 這個選項,只有audit object access。

    方便把你看到的視窗截圖上傳到論壇或者 SkyDrive 嗎?

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2013年1月29日 上午 07:06
    版主
  • 這是win 2003 的群組原則

    2013年1月29日 上午 07:54
  • 我研究了一下, 的確2003沒有我那頁所說的選項, 只能用舊式的audit policy (研究過程中發現bug還蠻多的...)

    首先我想到, 你的Audit entries會不會不包含 files? (This Folder, Subfolder, and files)

    假設設定沒有錯, 原來同樣是DELETE event,也會出現在不同的Event ID裡, 這篇有稍為說明:

    http://blogs.msdn.com/b/ericfitz/archive/2006/10/26/how-are-object-access-events-generated.aspx


    邊幫助, 邊鍛鍊

    • 已提議為解答 AChange 2013年1月30日 上午 08:05
    • 已標示為解答 Andy ChenModerator 2013年1月31日 上午 12:04
    2013年1月29日 上午 10:32
  • 我有選  (This Folder, Subfolder, and files)。

    即使我在第二層create file,在log裡面還是只看到這樣的訊息,這樣子我還能從哪裡判斷我對這個folder做了甚麼事情嗎

    2013年1月31日 上午 03:37