ردیابی اطلاعات حذف شده

با سلام

ممنون از پاسختون . شبکه ما دامین هستش. روی gpo تو قسمت computer configuration قسمت Audit policy گزینه Audit object access فعال کردم.بعد تو مسیری که شما فرمودی رفتم گزینه delete subfolders and file , delete انتخاب و successful رو تیک زدم. در ضمن این مجوز رو به everyone دادم . با این هدف که هر یوزری که روی این مسیر فولدر یا فایل پاک کنه لاگش ثبت شه. اما من با یوزر خودم می رم یه فایلی رو پاک می کنم لاگ نمیندازه. نظری داری؟

معمولا کسی که کار auditing میخواد انجام بده، باید با event ID ها اشنا باشه. در اینترنت میتونی Event ID های مختلف رو با عنوانشون پیدا کنی. اگر خود لاگ رو باز کنی هم که واضح نوشته

روی فولدر مشخص شده، کلیک راست میکنید:::

properties--> Security TAB--> Advanced--> Auditing

در این قسمت روی یوزرهایی که مورد نظرت هستند، نوع و شدت auditing رو مشخص میکنی.

در نهایت میتونی audit log ها رو توی event ها مشاهده کنی

مجددا مراحل رو با دقت بررسی کنید. نباید مشکلی وجود داشته باشه. در ضمن لاگ مربوطه روی سرور اکتیو دایرکتوری میوفته نه سیستم خودتون.

ممنون ، به عنوان مثال اگه من توی اون فولدر روی سرور یه فایل پاک کنم تو event viewer اکتیو باید دنبال چه لاگی بگردم؟

فرمایش شما درسته مهندس من با EventID ها تا حدودی آشنا هستم. در ضمن تو اینترنت مثال هایی که دیدم توی لاگ دقیقا از لفظ file deleted استفاده می کنه . ولی من روی eventviewer اکتیو روی همین واژه فیلتر گذاشتم هیچ لاگی پیدا نکرد.