Как получить логи открытия папок/файлов в WinServer 2019/Win10?

от
prokoding.ru > Python > Как получить логи открытия папок/файлов в WinServer 2019/Win10?

Для получения логов открытия папок и файлов в ОС Windows Server 2019 или Windows 10 вы можете воспользоваться механизмом аудита файловой системы, который предоставляется самой ОС.

  1. Включите политику аудита файловой системы:
  • Для Windows Server 2019: Откройте "Локальную групповую политику" (Local Group Policy) через "Панель управления" (Control Panel) или "Консоль управления политиками безопасности" (Security Policy Management Console) через команду "secpol.msc".

Найдите ветвь "Конфигурация компьютера" (Computer Configuration) -> "Настройка Windows" (Windows Settings) -> "Политики безопасности" (Security Settings) -> "Локальные политики" (Local Policies) -> "Аудит" (Audit Policies) -> "Объектные аудитовые политики" (Object Access).

  • Для Windows 10: Откройте "Групповую политику" (Group Policy) через "Панель управления" (Control Panel) или наберите "gpedit.msc" в командной строке "Выполнить" (Run).

Найдите следующую ветвь: "Конфигурация компьютера" (Computer Configuration) -> "Параметры Windows" (Windows Settings) -> "Параметры безопасности" (Security Settings) -> "Локальные политики" (Local Policies) -> "Аудит" (Audit Policies) -> "Учетные записи" (Account Logon) -> "Аудит подключения" (Audit Logon).

  1. Включите аудит открытия папок и файлов:
  • Дважды щелкните на политике "Аудит открытия" (Audit Object Access).
  • Установите флажок "Успешно" (Success) и/или "Неудачно" (Failure), чтобы включить аудит успешных и/или неуспешных попыток открытия папок и файлов.
  1. Настройте папки и файлы, для которых требуется запись логов:
  • Щелкните правой кнопкой мыши на папке или файле, для которого вы хотите включить аудит.
  • Выберите "Свойства" (Properties).
  • Перейдите на вкладку "Безопасность" (Security).
  • Нажмите кнопку "Дополнительно" (Advanced).
  • Перейдите на вкладку "Аудит" (Auditing).
  • Нажмите кнопку "Добавить" (Add).
  • Введите имя пользователя или группу, для которых требуется включить аудит.
  • Выберите тип доступа, для которого требуется включить аудит (например, "Открыть" - Open).
  • Нажмите кнопку "ОК" (OK), чтобы сохранить настройки аудита.
  1. Просмотрите и анализируйте логи аудита:
  • Откройте "Журнал событий" (Event Viewer) через "Панель управления" (Control Panel) или команду "eventvwr.msc" в командной строке "Выполнить" (Run).
  • Разверните "Журнал Windows" (Windows Logs) и выберите "Безопасность" (Security).
  • Фильтруйте события с помощью заданных параметров.
  • Щелкните правой кнопкой мыши на "Журнал Windows" (Windows Logs) и выберите "Фильтровать события" (Filter Current Log).
  • Введите следующие параметры фильтра:
  • Источник события: "Microsoft-Windows-Security-Auditing"
  • Идентификация события: 4656 (для успешных попыток открытия) или 4657 (для неуспешных попыток открытия)
  • Имя объекта: путь к папке или файлу, для которого выполняется аудит
  • Просмотрите детали событий и их атрибуты, чтобы узнать информацию о попытках открытия папок и файлов.

Эти шаги помогут вам получить логи открытия папок и файлов в ОС Windows Server 2019 и Windows 10 с помощью встроенных средств аудита. Вы также можете использовать сторонние инструменты логирования или программирование на языке Python для создания более специфических решений или автоматизации анализа логов.