Для получения логов открытия папок и файлов в ОС Windows Server 2019 или Windows 10 вы можете воспользоваться механизмом аудита файловой системы, который предоставляется самой ОС.
1. Включите политику аудита файловой системы:
- Для Windows Server 2019: Откройте "Локальную групповую политику" (Local Group Policy) через "Панель управления" (Control Panel) или "Консоль управления политиками безопасности" (Security Policy Management Console) через команду "secpol.msc".
Найдите ветвь "Конфигурация компьютера" (Computer Configuration) -> "Настройка Windows" (Windows Settings) -> "Политики безопасности" (Security Settings) -> "Локальные политики" (Local Policies) -> "Аудит" (Audit Policies) -> "Объектные аудитовые политики" (Object Access).
- Для Windows 10: Откройте "Групповую политику" (Group Policy) через "Панель управления" (Control Panel) или наберите "gpedit.msc" в командной строке "Выполнить" (Run).
Найдите следующую ветвь: "Конфигурация компьютера" (Computer Configuration) -> "Параметры Windows" (Windows Settings) -> "Параметры безопасности" (Security Settings) -> "Локальные политики" (Local Policies) -> "Аудит" (Audit Policies) -> "Учетные записи" (Account Logon) -> "Аудит подключения" (Audit Logon).
2. Включите аудит открытия папок и файлов:
- Дважды щелкните на политике "Аудит открытия" (Audit Object Access).
- Установите флажок "Успешно" (Success) и/или "Неудачно" (Failure), чтобы включить аудит успешных и/или неуспешных попыток открытия папок и файлов.
3. Настройте папки и файлы, для которых требуется запись логов:
- Щелкните правой кнопкой мыши на папке или файле, для которого вы хотите включить аудит.
- Выберите "Свойства" (Properties).
- Перейдите на вкладку "Безопасность" (Security).
- Нажмите кнопку "Дополнительно" (Advanced).
- Перейдите на вкладку "Аудит" (Auditing).
- Нажмите кнопку "Добавить" (Add).
- Введите имя пользователя или группу, для которых требуется включить аудит.
- Выберите тип доступа, для которого требуется включить аудит (например, "Открыть" - Open).
- Нажмите кнопку "ОК" (OK), чтобы сохранить настройки аудита.
4. Просмотрите и анализируйте логи аудита:
- Откройте "Журнал событий" (Event Viewer) через "Панель управления" (Control Panel) или команду "eventvwr.msc" в командной строке "Выполнить" (Run).
- Разверните "Журнал Windows" (Windows Logs) и выберите "Безопасность" (Security).
- Фильтруйте события с помощью заданных параметров.
- Щелкните правой кнопкой мыши на "Журнал Windows" (Windows Logs) и выберите "Фильтровать события" (Filter Current Log).
- Введите следующие параметры фильтра:
+ Источник события: "Microsoft-Windows-Security-Auditing"
+ Идентификация события: 4656 (для успешных попыток открытия) или 4657 (для неуспешных попыток открытия)
+ Имя объекта: путь к папке или файлу, для которого выполняется аудит
- Просмотрите детали событий и их атрибуты, чтобы узнать информацию о попытках открытия папок и файлов.
Эти шаги помогут вам получить логи открытия папок и файлов в ОС Windows Server 2019 и Windows 10 с помощью встроенных средств аудита. Вы также можете использовать сторонние инструменты логирования или программирование на языке Python для создания более специфических решений или автоматизации анализа логов.