dimal3
@dimal3
Programmierer

Аудит удаления файлов при использовании DFS на Windows 2019 Server?

Здравствуйте, у нас стоят 2 сервера с Windows 2019, и на них установлен DFS с авторепликацией на оба сервера.
В результате у нас нет нормального аудита: в списках по событию 4663 (мы используем дополнительно фильтр по маске 0х10000, что предположительно соответствует операции DELETE) есть файлы с названиями типа
D:\System Volume Information\DFSR\Private\{ABC…}-{DEF…}\Installing\Teil-of-name-{123..}-v123456.doc
(это после удаления всех файлов типа .log, .tmp и \~$ ). Причём в качестве пользователя стоит имя сервера.
Ещё есть удаления целых каталогов (?!), тоже с именем сервера. В поле ProzessName стоит C:\Windows\System32\dfsrs.exe
Есть и удаления от конкретных пользователей, но от них идут несколько удалений одних и тех же файлов — это вероятно результаты неоднократных редактирований того же файла… При этом поле ProzessName вообще пустое!

Вопрос: каким образом можно обнаружить удаления при использовании DFS ?

P.S. На клиентах, соединённых по сети, под именем Диск:\доменное имя\dfs-shared\имя папки , удаление файла почти всегда не регистрируется.:( Иногда регистрируется нечто похожее на первое сообщение \DFSR\Private\{...}\Installing\..., иногда регистрируется D:\имя папки\конкретное имя.doc - но при этом нет последующего сообщения 4660!
P.P.S. Интересно, что при создании и удалении файла (D:\...\Test.txt) в папке на самом сервере с помощью IE, регистрируются аж 3 события:
4663 (Test.txt), 4660 (без имени), и снова 4663 - с тем же именем Test.txt... почему - тоже неясно.
  • Вопрос задан
  • 18 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
20 окт. 2020, в 02:51
20000 руб./за проект
20 окт. 2020, в 01:40
1000 руб./за проект
20 окт. 2020, в 01:13
1500 руб./за проект