我被要求创建文件访问的审计记录。通过日志简直是压倒性的。双击记事本中打开的文本文件会创建 10 多个日志条目,事件 ID 为 4663。我多次看到 READ_CONTROL 访问。这是什么以及哪个访问权限产生了这个?
我想减少数据收集并仅记录那些反映文件实际打开以读取或写入的数据。
这是在 Windows Server 2008 上。
AskOverflow.Dev
我被要求创建文件访问的审计记录。通过日志简直是压倒性的。双击记事本中打开的文本文件会创建 10 多个日志条目,事件 ID 为 4663。我多次看到 READ_CONTROL 访问。这是什么以及哪个访问权限产生了这个?
我想减少数据收集并仅记录那些反映文件实际打开以读取或写入的数据。
这是在 Windows Server 2008 上。
更简单的方法是过滤事件 ID 4656(打开文件)和 4658(关闭文件)以及 4663;通过这种方式,您可以查看谁打开/关闭了文件以及在实际使用访问权限时与这些事件一起记录的相应 READ_CONTROL。
这是一个很好的参考: https ://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4663
如果这对您不起作用,或者我没有解决您的问题,请告诉我,我可以更具体一些。