Журнал событий Windows Удаленные файлы Информация

Question

Журнал событий Windows Удаленные файлы Информация

Как я могу получить информацию об удаленных файлах в Windows, которые пользователь удалил файл / папку через общую сеть?

Есть ли место, где Window регистрирует всю такую информацию. Если да, то где?

Можем ли мы отследить такие детали программно, используя C#?

-1

c# windows networking window-server

Источник

user3487985 01 фев '16 в 07:57

1 ответ

Другие вопросы по тегам c# windows networking window-server

user920669 01 фев '16 в 08:29 2016-02-01 08:29 · Answer 1 · 2016-02-01 08:29

Нет, после факта удаления файла обычно нет никаких доказательств. Журналы не создаются, если у вас нет приложения, которое ведет журналы.

Если вам нужно отслеживать удаление файлов, вы можете сделать это, используя FileSystemWatcher учебный класс. Он только скажет вам, что изменилось, но не кто внес изменения, и будет только отслеживать изменения в локальной файловой системе. Для сетевого ресурса это означает, что вы должны работать на сервере, на котором размещен общий ресурс.

Для отслеживания того, кто сделал удаление в сетевом ресурсе, единственная опция, о которой я могу подумать, это использовать проверку сетевых пакетов. Это довольно дорогой и сложный ресурс, так как он потребует от вас повторной сборки и интерпретации сообщений SMB вручную. Не просто. Если вы действительно хотите попробовать это, то WinPcap (через что-то вроде SharpPcap или же PcapDotNet) даст вам доступ к пакетам и будет много читать по протоколу SMB.

Просто знайте, что это довольно глубокие воды, в которые можно прыгнуть.