共享文件访问日志记录方法;要记录谁访问了您的共享文件,您可以使用系统自带的审计功能或第三方软件。下面是具体的方法:在Windows系统中,关于共享文件夹的详细访问日志事件ID主要包括以下内容:在Windows系统中,访问日志的ID编码主要是通过事件查看器中的安全日志显示的。以下是一些常见的访问日志事件ID:
关于 Windows 中共享文件夹相关事件 ID 的表格,展示了不同事件的描述、类别、日志源以及常见的应用场景:
| 事件 ID | 事件描述 | 类别 | 日志源 | 应用场景 |
|---|---|---|---|---|
| 5140 | 共享文件夹访问尝试 | 文件系统 | Microsoft-Windows-Security-Auditing | 用户或计算机尝试访问共享文件夹,记录访问尝试信息。 |
| 5142 | 共享文件夹删除 | 文件系统 | Microsoft-Windows-Security-Auditing | 共享文件夹被删除时记录的事件,帮助跟踪共享文件夹的删除过程。 |
| 5143 | 共享文件夹创建或修改 | 文件系统 | Microsoft-Windows-Security-Auditing | 创建或修改共享文件夹时记录该事件。 |
| 4663 | 文件/文件夹访问 | 对象访问 | Microsoft-Windows-Security-Auditing | 记录文件或文件夹的访问,包括读取、写入、删除等操作。 |
| 4656 | 文件/对象访问请求 | 对象访问 | Microsoft-Windows-Security-Auditing | 用户尝试访问文件或文件夹时创建的请求事件。 |
| 4660 | 文件/对象删除 | 对象访问 | Microsoft-Windows-Security-Auditing | 文件或文件夹被删除时记录的事件。 |
| 5145 | 共享访问已被拒绝 | 文件系统 | Microsoft-Windows-Security-Auditing | 由于权限不足或其他原因,访问共享文件夹的尝试被拒绝时记录该事件。 |
| 32000 | SMB 共享活动 | 网络 | Microsoft-Windows-SMBServer | SMB 协议相关的活动,包括客户端连接或断开连接等。 |
| 1016 | 网络共享日志 | 系统 | Microsoft-Windows-SMBServer | 网络共享配置的变化,如共享创建、删除或修改。 |
说明:
- 事件 ID:标识每个事件的唯一编号。
- 事件描述:简要说明该事件的作用或含义。
- 类别:该事件归属于哪种类型的日志(如文件系统、对象访问、网络等)。
- 日志源:事件来源的具体组件或服务。
- 应用场景:事件记录的实际应用情况,帮助管理员监控文件夹共享、文件访问等活动。
这个表格为管理员提供了对共享文件夹相关事件的全面视图,有助于在 Windows 环境中进行文件共享监控和审计。
在 Windows 系统中,关于共享打印机的事件记录通常与打印服务和共享管理相关。以下是与共享打印机相关的一些常见事件 ID,它们帮助管理员监控和审计打印活动:
| 事件 ID | 事件描述 | 类别 | 日志源 | 应用场景 |
|---|---|---|---|---|
| 307 | 打印机共享已启用或禁用 | 打印机管理 | Microsoft-Windows-PrintService | 打印机共享被启用或禁用时记录该事件,帮助管理员跟踪打印机共享状态的变化。 |
| 312 | 打印作业已开始 | 打印机管理 | Microsoft-Windows-PrintService | 打印作业开始时记录的事件,包括打印任务的创建和启动。 |
| 313 | 打印作业已完成 | 打印机管理 | Microsoft-Windows-PrintService | 打印作业完成时记录的事件,包含打印任务的结束信息。 |
| 314 | 打印作业被取消 | 打印机管理 | Microsoft-Windows-PrintService | 打印作业被取消时记录的事件,帮助管理员追踪打印任务的取消原因。 |
| 319 | 打印机状态发生变化 | 打印机管理 | Microsoft-Windows-PrintService | 打印机状态改变时记录的事件,如打印机脱机、连接丢失等。 |
| 319 | 打印机共享权限更改 | 打印机管理 | Microsoft-Windows-PrintService | 打印机共享的权限被更改时记录的事件。 |
| 300 | 打印机共享活动日志 | 系统/打印机 | Microsoft-Windows-PrintService | 打印机共享的配置更改和活动记录。 |
| 542 | 打印作业权限错误 | 安全审计 | Microsoft-Windows-Security-Auditing | 用户尝试打印但由于权限不足而失败时记录的事件。 |
| 616 | 打印作业排队等待 | 打印机管理 | Microsoft-Windows-PrintService | 打印作业被提交并处于排队状态时记录的事件。 |
| 616 | 打印作业失败 | 打印机管理 | Microsoft-Windows-PrintService | 打印作业因为错误而未能成功打印时的记录。 |
| 8193 | 打印机连接错误 | 系统/打印机 | Microsoft-Windows-PrintService | 打印机在连接时发生错误,可能是网络或驱动问题,记录该事件。 |
说明:
- 事件 ID:标识每个事件的唯一编号。
- 事件描述:简要说明该事件的作用或含义。
- 类别:该事件归属于的类别,通常为“打印机管理”或“安全审计”。
- 日志源:事件来源的具体组件或服务。
- 应用场景:事件记录的实际应用情况,帮助管理员监控打印作业、打印机共享状态和权限。
这些事件帮助管理员追踪打印作业的进度、权限问题、打印机共享的更改等,有助于进行打印服务的管理与故障排除。
在 Windows 操作系统中,文件共享相关的事件通常涉及到 Windows 事件日志,特别是在 安全性、系统、应用程序 和 文件服务 相关的日志。以下是一些与共享文件夹和文件访问相关的关键 事件 ID,它们可以帮助管理员监控和排查文件共享相关的问题。
1. 事件 ID 5140 — 共享文件夹访问尝试
- 事件描述:表示某个用户或计算机尝试访问一个共享文件夹。
- 类别:文件系统
- 日志源:Microsoft-Windows-Security-Auditing
- 应用场景:当用户尝试访问文件共享时,Windows 会记录该访问尝试。这对于审计和监控文件访问非常有用。
示例事件内容:
Copy Code
共享文件夹访问:访问已请求的共享文件夹 <共享名称>。
访问的资源路径为:\\<服务器名>\<共享名>。
请求的访问类型:读/写。
客户端 IP 地址:<IP 地址>。2. 事件 ID 5142 — 共享文件夹删除
- 事件描述:表示共享文件夹的删除操作。
- 类别:文件系统
- 日志源:Microsoft-Windows-Security-Auditing
- 应用场景:当共享文件夹被删除时,系统会记录此事件,帮助跟踪共享文件夹的创建和删除过程。
示例事件内容:
Copy Code
文件夹 <共享名称> 被删除。
删除操作的用户:<用户名>。
删除操作的客户端 IP 地址:<IP 地址>。3. 事件 ID 5143 — 共享文件夹创建或修改
- 事件描述:表示共享文件夹被创建或修改。
- 类别:文件系统
- 日志源:Microsoft-Windows-Security-Auditing
- 应用场景:在共享文件夹被创建或修改(例如更改共享权限或共享名称)时,这个事件将被记录下来。
示例事件内容:
Copy Code
共享文件夹 <共享名称> 已创建或修改。
操作的用户:<用户名>。4. 事件 ID 4663 — 文件/文件夹访问
- 事件描述:表示文件或文件夹被访问或修改。包括文件的读取、写入、删除等操作。
- 类别:对象访问
- 日志源:Microsoft-Windows-Security-Auditing
- 应用场景:文件或文件夹上的权限更改、删除或修改时,记录该事件,帮助管理员监控文件访问。
示例事件内容:
Copy Code
文件/文件夹访问:<文件路径> 被访问。
访问的操作类型:读取/写入。
访问的用户:<用户名>。
客户端 IP 地址:<IP 地址>。5. 事件 ID 4656 — 文件/对象访问请求
- 事件描述:表示某个对象(例如文件或文件夹)上的访问请求已被创建。
- 类别:对象访问
- 日志源:Microsoft-Windows-Security-Auditing
- 应用场景:当一个用户尝试访问文件或文件夹时(无论是否成功),系统会记录该请求。
示例事件内容:
Copy Code
文件/对象访问请求:<文件路径> 被请求。
请求的操作类型:读取/写入。
请求的用户:<用户名>。
请求的客户端 IP 地址:<IP 地址>。6. 事件 ID 4660 — 对象删除
- 事件描述:表示文件、文件夹或其他对象被删除。
- 类别:对象访问
- 日志源:Microsoft-Windows-Security-Auditing
- 应用场景:当文件或文件夹被删除时,此事件会被记录。用于监控文件的删除操作。
示例事件内容:
Copy Code
文件/文件夹删除:<文件路径> 被删除。
删除的用户:<用户名>。
删除的客户端 IP 地址:<IP 地址>。7. 事件 ID 5145 — 共享访问已被拒绝
- 事件描述:表示访问共享文件夹的尝试被拒绝,通常是由于权限不足。
- 类别:文件系统
- 日志源:Microsoft-Windows-Security-Auditing
- 应用场景:当某个用户或客户端尝试访问共享文件夹,但由于权限不足或其他原因访问被拒绝时,系统会记录此事件。
示例事件内容:
Copy Code
共享文件夹访问被拒绝:尝试访问共享文件夹 <共享名称> 被拒绝。
拒绝的原因:权限不足。
请求的客户端 IP 地址:<IP 地址>。8. 事件 ID 32000 — SMB (Server Message Block) 共享活动
- 事件描述:表示 SMB 文件共享相关的活动,包括客户端连接、断开连接等。
- 类别:网络
- 日志源:Microsoft-Windows-SMBServer
- 应用场景:SMB 协议是用于 Windows 文件共享的主要协议,这个事件帮助监控 SMB 共享相关的活动。
示例事件内容:
Copy Code
SMB 会话活动:<客户端名称> 成功连接到共享 <共享名称>。
客户端 IP 地址:<IP 地址>。9. 事件 ID 1016 — 网络共享日志
- 事件描述:表示网络共享的建立、修改或删除。
- 类别:系统
- 日志源:Microsoft-Windows-SMBServer
- 应用场景:用于审计网络共享配置的变化,比如建立、删除或修改共享设置。
示例事件内容:
Copy Code
网络共享创建:共享名称 <共享名称> 被创建。
网络共享删除:共享名称 <共享名称> 被删除。查看这些事件的方法:
- 打开 事件查看器:按
Win + R,输入eventvwr.msc,并回车。 - 导航到 Windows 日志 > 安全、系统 或 应用程序,查找和筛选相关的事件 ID。
- 也可以使用 筛选器 来只显示特定事件 ID,或者使用 事件查看器的“自定义视图” 来创建自定义视图,专门监控文件共享和网络共享的事件。
通过这些事件 ID,管理员可以更好地了解文件共享的使用情况,帮助监控和管理网络资源的访问权限。
共享文件访问日志记录方法
要记录谁访问了您的共享文件,您可以使用系统自带的审计功能或第三方软件。下面是具体的方法:
1. 开启系统自带的审计功能
-
右击文件夹:
- 找到您想要审计的共享文件夹,右击选择“属性”。
-
访问安全设置:
- 选择“安全”选项卡,然后点击“高级”。
-
审计设置:
- 在“高级安全设置”窗口中,选择“审计”标签页,点击“添加”按钮。
-
选择对象:
- 点击“选择主体”,然后选择您要记录的对象(如特定用户、组或Everyone),点击“确定”。
-
配置事件:
- 在“基本权限”中,勾选您想要记录的事件(如“成功”和/或“失败”)后,点击“确定”。
-
设置继承:
- 确保选中“包括/替换继承子项”,然后连续点击“确定”以完成设置。
-
查看日志:
- 打开“事件查看器” (
eventvwr.msc),导航到“Windows 日志” > “安全”,您可以在这里找到相关的访问日志。在Windows系统中,关于共享文件夹的详细访问日志事件ID主要包括以下内容:
共享文件夹相关的事件ID
- 5140 - 网络共享对象访问:记录对共享文件夹的访问请求。
- 5145 - 共享对象访问:记录对共享文件夹中对象(如文件)的访问尝试,包括成功和失败的事件。
- 4663 - 对对象的访问:记录对文件或文件夹等对象的具体访问情况,包含访问的类型(如读取、写入、删除等)。
- 4656 - 句柄已获得:记录对特定对象(例如文件或文件夹)句柄的请求。
- 4660 - 对象已删除:记录文件或文件夹被删除的事件。
- 4661 - 对象被修改:记录对对象的修改事件。
查看和筛选事件
您可以通过“事件查看器”来查看这些事件ID:
- 打开“事件查看器” (
eventvwr.msc)。 - 导航到“Windows 日志” > “安全”。
- 使用“筛选当前日志”功能,输入需要的事件ID进行筛选。
这些事件ID能够帮助您更全面地监控共享文件夹的访问和操作情况。
在Windows系统中,访问日志的ID编码主要是通过事件查看器中的安全日志显示的。以下是一些常见的访问日志事件ID:
常见的访问日志事件ID
- 4624 - 成功登录事件:记录成功登录到系统的用户信息。
- 4625 - 登录失败事件:记录尝试登录但失败的用户信息。
- 4663 - 对对象的访问:记录对文件或文件夹等对象的访问尝试,包括成功和失败的事件。
- 5140 - 共享访问:记录对共享文件夹的访问请求。
- 5145 - 共享对象访问:记录对共享文件夹中对象的访问。
如何查看这些事件ID
- 打开“事件查看器” (
eventvwr.msc)。 - 导航到“Windows 日志” > “安全”。
- 使用“筛选当前日志”功能,可以根据事件ID筛选所需的日志。
通过这些事件ID,您可以有效地监控和管理对共享文件的访问情况。
- 打开“事件查看器” (
2. 使用第三方软件 ShareMonitor
ShareMonitor 1.0 - Download, Review, Screenshots (softpedia.com)
-
下载和安装:
- 前往 ShareMonitor 的官方网站或可信的软件下载平台,下载并解压缩该软件。 下载
-
运行软件:
- 运行 ShareMonitor,软件界面简单明了,无需复杂设置。
-
监控访问:
- 该软件会自动记录对共享文件的访问情况,包括访问者的信息。
-
查看日志:
- 您可以在软件界面中直接查看所有访问记录,便于管理和分析。
这两种方法各有优缺点:
- 系统审计功能:集成在操作系统中,不需要额外软件,但配置较为复杂。
- ShareMonitor:简单易用,信息直观,适合快速部署。
根据您的需求选择合适的方法进行文件访问日志的记录。
浙公网安备 33010602011771号