Как создать запись в Eventlog, когда в доступе к файлам / папкам было отказано?

Question

Как создать запись в Eventlog, когда в доступе к файлам / папкам было отказано?

Я создал папку, к которой у меня нет доступа (специально). Теперь я хочу, чтобы Windows (Server 2008 r2) создавала запись в Eventlog, всякий раз, когда я пытаюсь получить доступ к этой папке.

Я уже читал о том, как сделать это с помощью "Аудит доступа к объектам" в локальной политике безопасности (secpol.msc), но, делая это таким образом, мне придется редактировать каждую отдельную папку или файл вручную, я хочу отслеживать,

Я хотел бы найти способ вызвать журнал событий, когда пользователь пытается получить доступ к файлу или папке без надлежащих прав доступа.

Привет миротворец

0

windows access event-log audit security-policy

Источник

user5042445 08 авг '17 в 16:15

1 ответ

Другие вопросы по тегам windows access event-log audit security-policy

user5042445 09 авг '17 в 09:11 2017-08-09 09:11 · Answer 1 · 2017-08-09 09:11

Так как я не смог найти другой путь, я решил эту проблему следующим образом:

(secpol.msc) Расширенная настройка политики аудита-> Политики аудита системы-> Аудит доступа к глобальным объектам (SACL)-> Политика-> Настройка | и добавил "authenticated-users" как проверенную группу
Доступ к объекту (в рамках Политики аудита системы) -> Управление дескрипторами аудита -> установлен на "Сбой"
Я также установил для параметра "Подключение платформы фильтрации аудита" и "Удаление пакета платформы фильтрации аудита" значение "Нет аудита" (поскольку он заполнял мой журнал событий)

Поскольку это "работает" (локально), я собираюсь перейти и попробовать эту политику аудита в сети, содержащей несколько клиентов.

Я только что узнал, что нет необходимости задействовать Audit Properties of the Disk, он работает нормально, если secpol установлен правильно

Привет миротворец