如何在windows中提取已从文件夹中转移或删除文件的用户信息？

Question

我需要找出哪个用户删除文件或将文件从一个文件夹传输到windows上的另一个文件夹。在上述场景中，一个系统具有多个登录，这意味着多个用户访问同一系统。我需要找出哪些用户将文件从一个文件夹转移到另一个文件夹，甚至删除特定文件夹中的文件。

在这方面请帮帮我。

谢谢

Answer 1

对于文件删除，您需要在Audit Policy上启用对象日志记录。

有关更改Audit Policy.

• This页面的
• 常规信息列出了在安全日志

中生成的Event IDs

下面是一个blog，它将引导您完成文件删除的设置，但简而言之：

1. In Administrative Tools打开Local Security Policy，然后展开Local Policies | Audit Policy，启用"Success“和潜在的"Failure”(如果您想要查看谁试图删除files).
2. Right，请单击要监视的目录。Click or>删除Properties
3. Click在安全选项卡上选择
5. 单击高级按钮
6. 单击审计选项卡
7. 添加要监视的用户(或对于各种删除选项卡，请单击"Successful“和”Failed

​

1. 监视安全事件日志中的文件删除事件

传输文件相当于先读取，然后执行create+write (可能在不同的机器上)。