Всем привет.
Не получается нормально разобраться с логированием событий удаления файлов на Windows Server 2012 R2 x64. Нужно настроить журнал безопасности windows на регистрирование событий удаления файлов. По всем инструкциям достаточно cделать:
И даже перегружать не надо. Теперь нужно настроить аудит событий каталога:
Ну и как обычно это надо проверить. Удаляю файл:
Теперь в теории я должен получать следующие события 4656/4663 для запроса на удаления (запрос дескриптора), но финальное удаление регистрируется в событии 4660. Так вот 4656 и 4663 в журнале есть, а 4660 - отсутствует:
На всякий случай выполнил следующие проверки:
- проверил фильтр журнала безопасности - фильтров не установлено.
- проверил работу таких же настроек на другом сервере windows server 2012 R2.
- файл точно удаляется на
локальном диске.
Результат не изменился и событий 4660 по прежнему нет. Выглядит 4660 так:
На windows 8.1 corporate всё работает нормально и события 4660 нормально регистрируются в журнале.
Не подскажите - что я упустил?
Простой
Средний
