Chinaunix首页 | 论坛 | 博客
  • 博客访问: 159035
  • 博文数量: 40
  • 博客积分: 1746
  • 博客等级: 上尉
  • 技术积分: 340
  • 用 户 组: 普通用户
  • 注册时间: 2010-10-29 15:57
文章分类

全部博文(40)

文章存档

2011年(23)

2010年(17)

我的朋友

分类: WINDOWS

2011-03-29 11:57:55

文件服务器如何启动日志功能知道删除移动是谁干的?

文件服务器如何启动日志功能知道删除移动是谁干的?文件服务器如何启动日志功能,可以详细记录每个用户和连接的读取\运行\写入的各类记录。用户通过映射盘访问服务器上的文件夹,每层文件夹都有不同的权限控制,因为服务器上经常有文件夹被删除或移动,现在我想知道是谁干的,还有时间,有没有什么方案可以实现,环境:win2003server ad client:xp。由于我的文件服务器所处环境是非域网络环境,希望能详细了解 本地策略 审核策略的设置办法和方案.以及其对文件访问的影响程度?

回答:根据我的研究,如果您希望记录文件服务器上文件夹或文件的被用户执行的操作,可以通过应用或修改文件服务器上文件或文件夹的审核策略设置来实现。具体的设置方法如下:

1. 打开 Windows 资源管理器。
2. 右键单击要审核的文件或文件夹,单击“属性”,然后单击“安全”选项卡。
3. 单击“高级”,然后单击“审核”选项卡。
4. 要设置新用户或组的审核,请单击“添加”。在“输入要选择的对象名称”中,键入想要的用户或组的名称,然后单击“确定”。
5. 在“应用于”框中单击希望进行审核的位置。
6. 在“访问”框中,通过选中适当的复选框,指出您想要审核的操作:
7. 如果要防止原始对象的后续文件和子文件夹继承这些审核项,请选中“将这些审核项目只应用到这个容器中的对象和/或容器上”复选框。

注意:设置文件和文件夹的审核前,必须通过为对象访问事件类别定义审核策略设置,来启用对象访问审核。如果不启用对象访问审核,在设置文件和文件夹的审核时,将收到错误消息且不会审核任何文件或文件夹。

更多信息请您参考以下文章:
应用或修改本地文件或文件夹的审核策略设置

根据我的研究,开始审核策略并不会对用户访问共享文件夹速度造成影响。具体应用或修改本地文件或文件夹的审核策略设置方法如下:

1. 打开 Windows 资源管理器。
2. 右键单击要审核的文件或文件夹,单击“属性”,然后单击“安全”选项卡。
3. 单击“高级”,然后单击“审核”选项卡。
4. 要设置新用户或组的审核,请单击“添加”。在“输入要选择的对象名称”中,键入想要的用户或组的名称,然后单击“确定”。
5. 在“应用于”框中单击希望进行审核的位置。
6. 在“访问”框中,通过选中适当的复选框,指出您想要审核的操作:
7. 如果要防止原始对象的后续文件和子文件夹继承这些审核项,请选中“将这些审核项目只应用到这个容器中的对象和/或容器上”复选框。

注意:设置文件和文件夹的审核前,必须通过为对象访问事件类别定义审核策略设置,来启用对象访问审核。如果不启用对象访问审核,在设置文件和文件夹的审核时,将收到错误消息且不会审核任何文件或文件夹。
更多信息请您参考以下文章:
应用或修改本地文件或文件夹的审核策略设置


关于审核日志记录问题,请您检查516事件的出现频率,以及是否出现560事件。如果您的操作系统为64为的Windows Server 2003,同时出现560事件的话,请您参考以下文章进行排错:
An "event ID 516" audit record may be incorrectly logged when an access attempt to a named pipe occurs in Windows Server 2003 or in Windows XP


Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心

用安全性审核的方法,的确是很实时,但不太实用。日志量太大,目前在windows 2003 上的日志过滤功能不是很好,即便用第三方的工具过滤也不是很容易。(如果您考虑使用第三方工具进行日志过滤,可以尝试 GFI EventsManager ,但任何日志过滤工具的使用都不可能一蹴而就的满足管理员需求,需要经过不断的调整,这个调整过程将会伴随整个管理生命周期)

关于更多文件服务器的文章请参考:
2003文件服务器配置设置管理活动目录ActiveDirectory域SEO2000|2003 ...
活动目录域: 文件服务器上的共享文件夹打开特慢ActiveDirectory域 ...
活动目录域: 文件服务器windows2003如何防止文件被拷贝ActiveDirectory ...
活动目录域: 文件服务器不建议放在域控制器上ActiveDirectory域SEO2000 ...
---gnaw0725

在服务器上进"本机安全原则","稽核物件存取"设定成"成功",然后到要稽核的共用资料夹上,右键内容,"安全性""高级""稽核" 
一项加入USER,选取要稽核的项目如:删除,删除子资料夹及档案..等等.
然后到系统事件的安全性中去查看即可,不过里面的事件太多(就稽核这一项),要查也比较费时.
---willis


阅读(12555) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~