【Windows 2008 R2文件系统审核】
当我删除文件时,会出现两条事件日志审核消息:4663表示请求删除文件和4660确认删除。Thay 可以通过属性连接Handler。
当我重命名文件时,会出现两条事件日志审核消息:4663这意味着请求删除文件和4663创建新文件(但只有文件夹路径,没有文件名)
当我将文件从一个文件夹移动到另一个文件夹时,出现与重命名相同的图片(因为移动实际上是重命名,OK)
当我创建一个新文件时,没有事件出现。
所以,问题: 1. 我在审计文件创建时缺少什么?2. 审计文件重命名我遗漏了什么?
我的 AuditPol.EXE 导出(DACL 和 SACL):
Category/Subcategory Setting
System
Security System Extension Failure
System Integrity Failure
IPsec Driver Failure
Other System Events Failure
Security State Change Failure
Logon/Logoff
Logon Success and Failure
Logoff Success and Failure
Account Lockout Success and Failure
IPsec Main Mode Success and Failure
IPsec Quick Mode Success and Failure
IPsec Extended Mode Success and Failure …