Аудит Windows Share
Настройка не сложная и не займет много времени 🙂
Сначала настроим шару. Перейдем в свойства папки, далее Безопасность -> Дополнительно -> Аудит
. Добавим группу Все, если её нет, двойным кликом заходим в её свойства, Отображение дополнительных разрешений
и включаем:
- Создание файлов/запись данных
- Создание папок/Дозапись данных
- Удаление подпапок и файлов
- Удаление
- Смена владельца
Не забываем, что применить нужно и к папке, и к её подпапкам!
Теперь настроим политику аудита.
Откроем secpol.msc
Параметры безопасности -> Локальные политики -> Параметры безопасности
и найдём в правой части окна категорию «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista or later)»
и включим её.
Так же перейдем в Параметры безопасности -> Конфигурация расширенной политики -> Политики аудита системы -> Доступ к объектам
и настройте категорию Аудит файловой системы
в Успех и отказ
Как найти — кто удалил файл? Смотрим лог Безопасность по событию 4663. В данных событиях будет написан путь до файла, операции доступа (запись, удаление и т.д.) и пользователь.