Önce Local Policy (gpedit.msc) ile "Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy" de Audit Object Access "Success" (isteğe göre Failure) tiklenir. Bu ayar dosyalara yapılan tüm erişim, silme, açma, vs. loglar. Gereksiz yere log şişer.
Şimdi istediğimiz klasörün "Sharing and Security" ile "Security" geçelim. "Advanced" ve "Auditing".. Add ile ister everyone ister Domain User (istenirse belirli bir user/users) eklenir. Ben dosya/klasör silmeyi izlemek istiyorum bu yüzden "Delete Subfolders and Files" ve "Delete" seçeneklerini işaretleyerek (tabii successfull kısmından) işlemi bitiriyoruz.
Son olarak tüm alt klasörlere de işlemesi için "replace auditing entries on all child objects…" işaretledikten sonra işlemi bitiriyoruz.
Log'larda 560 no lu event ID ile silinen dosya hakkında detaylı bilgiyi bulabiliriz.
Hiç yorum yok:
Yorum Gönder