Когда одним компьютером пользуются несколько человек, администратору такого ПК может быть интересно знать, кто и когда открывал те или иные папки и файлы. Мы уже писали о том, как узнать, какие программы запускались в отсутствия владельца компьютера, теперь давайте посмотрим, как получить статистические данные об использовании каталогов. Для отслеживания событий мы предлагаем использовать старые добрые встроенные средства аудита Windows.
Включение политики аудита
Первыми делом нужно включить политику аудита.
Откройте редактор локальных групповых политики командой gpedit.msc, перейдите в раздел «Конфигурация Windows» → «Параметры безопасности» → «Конфигурация расширенной политики аудита» → «Политики аудита системы» → «Доступ к объектам» и откройте настройки расположенной в правой колонке редактора политики «Аудит файловой системы».
Включите отслеживание только успешных событий и сохраните настройки.
Изменение конфигурации требует перезагрузки ПК, но чтобы лишний раз не перезагружаться, выполните в запущенной от имени администратора командной строке команду gpupdate /force.
Настройка свойств папки
Чтобы отчеты начали попадать в журнал событий, необходимо указать, какие именно папки и события нужно мониторить.
Откройте свойства отслеживаемого каталога, перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно».
В окне дополнительных настроек переключитесь на вкладку «Аудит» и нажмите «Продолжить».
Нажмите кнопку «Добавить».
В следующем окне вам нужно будет нажать ссылку «Выберите субъект» и указать в открывшемся диалоговом окошке имя пользователя или группы, действия которых хотите отслеживать.
Если вы не знаете имя пользователя или группы, нажмите «Дополнительно» и выберите в открывшемся окне после нажатия кнопки «Поиск» нужного вам пользователя вручную. Если нужно отслеживать всех пользователей, выберите «Все».
Убедитесь, что в меню «Тип» и «Применяется к» выбрано «Успех» и «Для этой папки, ее подпапок и файлов». Здесь же укажите, какие именно события нужно отслеживать – чтение, запись, изменение и так далее.
Последовательно сохраните настройки.
Просмотр событий
Теперь, если с указанной папкой или ее содержимым будет выполнено какое-то из включенных в мониторинговый список действий, сведения об этом будут занесены в системный журнал событий, открыть который вы можете командой eventvwr.msc.
Нужные вам сведения найдете в разделе «Журналы Windows» → «Безопасность».
Событий в этом журнале может быть много, поэтому есть смысл отсортировать их, выбрав источник «Microsoft Windows security auditing».
Подробности о каждом событии указаны в его свойствах.
Есть также еще один момент, о котором нужно упомянуть.
Политика аудита может быть весьма полезной, но злоупотреблять ею не стоит. При определенных условиях мониторинг даже одной папки может привести к раздуванию журнала, кроме того, отслеживание большого количества каталогов способно снизить производительность системы.