查询监控共享文件删除等操作

共享文件夹中的文件被人删除后，有时需要查询是谁操作删除的，可以通过windows的文件审核功能来实现

开启审核功能

远程登录文件共享服务器，运行gpedit.msc打开组策略管理器，依次展开 计算机配置 > Windows设置 > 安全设置 > 高级审核策略配置 > 对象访问 ，找到 审核文件系统双击打开并配置审核项目，推荐只配置“成功”

审核功能开启完毕
备注：不使用“审核详细的文件共享”，是因为该设置打开后会产生大量审核事件，给查找真正有用的信息造成很大干扰

配置审核项

找到需要监控的共享文件夹，右键，属性，安全，高级，审核，添加

选择主体“everyone”，确定

显示高级权限

点击全部清除，然后在当前权限列表仅勾选“删除子文件夹及文件”、“删除”两项，审核类型选择“成功”，确定

最后应用并确定

审核项配置完成

备注：

1. 选择主体可以根据自己需要使用everyone或者domain users。everyone包含有计算机本地账户，domain users只包含域用户
2. 高级权限列表中，仅勾选“删除子文件夹及文件”、“删除”两项即可。因为最终的目的是实现监控文件是被谁删除的，其他权限对应的文件打开访问等信息是不需要的，而且其他权限的审核记录会特别多，对有用审核日志查找时造成干扰
3. 当前只给“文件中转”文件夹配置了审核功能，电脑中其他文件夹并没有开启审核功能

查找日志

上述操作完成后，即开启了对指定文件夹里的文件删除动作的审核记录。
如果此时有人在“文件中转”文件夹中删除了文件，可以从系统安全日志中查找事件ID号4663、4656、4659
compmgmt.msc打开 计算机管理 > 系统工具 > 事件查看器 > Windows日志 > 安全

如果有大量安全事件，可以筛选事件ID为4663、4656、4659，然后进一步查找
如果知道被删除的文件/文件夹名称，可以通过“查找”来直接通过关键字来搜索

如果在服务器上操作速度较慢，可以将日志下载后通过notepad3等其他方式来查找
方式1：将当前所有日志全部保存下来
方式2：根据特有的时间点，右键选择一部分日志保存下来查找

备注：

1. 如果日志比较多，“查找”功能速度会比较慢
2. 除非有必要，否则不推荐保存所有日志，保存速度比较慢，在保存过程中，指定保存的文件不可被复制、剪切，且保存过程没有提醒没有进度，需要手工每过一段时间刷新后会发现保存的文件大小变大了