Вопрос или проблема
Я пытаюсь отслеживать создание папок, перемещения и переименования для определенного каталога.
Я включил “Аудит файловой системы” в групповой политике.
И настроил параметры аудита папок, как указано ниже.
При просмотре журнала событий в отношении папок я заметил следующее.
- Создание папок – Нет события
- Удаление папок – Событие 4663 с подробностями удаления
- Перемещение папки – Событие 4663 с подробностями удаления для перемещаемой папки, событие 4663 с подробностями добавления подкаталога для родительской папки, в которую добавляется файл.
Я ожидал, что будет какое-то событие просто для создания папки, я также ожидал, что перемещение также покажет это же событие или будет содержать название подкаталога, добавляемого в событии добавления подкаталога.
Является ли это стандартным поведением, и информация просто отсутствует, или я что-то неправильно настроил?
Ответ или решение
Почему не генерируются события аудита создания папок?
Дорогой читатель,
Изначально хочу обсудить вашу ситуацию касательно настройки аудита файловой системы и отсутствия событий при создании папок в указанном вами каталоге.
-
Настройка групповой политики: Вы упомянули, что «Aудит файловой системы» был включен в групповой политике. Убедитесь, что эта политика применяется правильно. Вы можете проверить, было ли обновление политики успешно выполнено на целевом сервере или рабочей станции, используя команду
gpresult /h report.html. В этом отчетном файле вы сможете увидеть активные политики и убедиться, что настройки аудита были применены. -
Настройка аудита на уровне папки: Важно удостовериться, что параметры аудита, которые вы установили, действительно подтверждают события создания папок. Для контроля создания папок вам необходимо:
- Открыть свойства папки, для которой требуется ведение аудита.
- Перейти на вкладку «Безопасность», затем нажать «Дополнительно» и выбрать вкладку «Аудит».
- Убедитесь, что вы добавили необходимые учетные записи (например, группы пользователей или сервисные учетные записи) и указали опции «Создание файлов / добавление данных» и «Создание папок / добавление данных». Без этих настроек система действительно не будет регистрировать события создания папок.
-
Анализ событий: Как вы заметили, для удаления папок срабатывает событие 4663 с подробностями об удалении. Однако, чтобы отслеживать создание папок, вам понадобятся события 4663 и 5140 (при доступе к сетевым ресурсам). Событие 5140 указывает на успешное создание новой папки. Убедитесь, что у вас активирован аудит доступа к объектам.
-
Проверка журналов событий: Обратите внимание, что Windows может не всегда генерировать событий, ассоциированных с созданием папок. Это может быть вызвано различными факторами:
- Объём журнала событий ограничен, и старые записи могут быть перезаписаны.
- Убедитесь, что фильтры при просмотре журналов событий не исключают события, которые вы хотите видеть.
-
Тест и диагностика: Для дальнейшего анализа попробуйте создать папку с другой учетной записи. Это может помочь определить, связан ли вопрос с конкретной учетной записью или параметрами безопасности, установленными для неё.
-
Привилегии и разрешения: Проверьте наличие необходимых привилегий для пользователя или группы, выполнившего создание папки. Если учетная запись не имеет достаточных прав, события могут не генерироваться.
В результате, чтобы решить трудности с аудитом создания папок, необходимо обратить внимание на настройку групповой политики, параметры аудита на уровнях папок и доступные привилегии.
Если вышеуказанные шаги не помогли, рекомендуется проверить наличие обновлений для вашей операционной системы и, при необходимости, обратиться к документации Microsoft для получения дополнительной информации о специфике аудита файловой системы.
С уважением,
[Ваше имя]
IT-Эксперт