ویندوز سرور

آشنایی با Event ID های Auditing در ویندوز

آشنای با Event ID های مرتبط با Auditing File Access
Auditing File Access از طریق رخدادهای زیر کنترل میشود:
رخداد ۴۶۵۶ – اولین رخدادی است هنگامی که کاربر اقدام به دسترسی به فایل(object) می نماید ایجاد میشود و بیانگر نوع دسترسی مورد درخواست کاربر میباشد. این رخداد از طریق فعال شدن Handle Manipulation در زیر شاخه Object Access ایجاد میشود.
رخداد ۴۶۶۳ – بیانگر عملی است که کاربر پس از دسترسی به فایل بر روی فایل انجام داده است.رخداد پس از ۴۶۵۶
رخداد ۴۶۵۸ – بیانگر زمانی است که فایل توسط کاربر بسته شده است و از آن برای دریافتن مدت زمان باز بودن فایل از طریق همبستگی ان با رخداد ۴۶۵۶ ی که دارای Hanlde id یکسان است استفاده میشود.
۴۶۶۰ – بیانگر حذف شدن فایل یا فولدر توسط کاربر است
۴۹۹۰ – بیانگر باز شدن فایل توسط کابر است
۴۶۷۰ – بیانگر تغییرات اعمال شده در مجوزهای دسترسی فایل توسط کاربر است
۵۱۴۵ – همتراز با رخداد ۴۵۶۵ حاوی اطلاعات بیشتری همچون نام کامپیوتر کاربر و مسیر فایل هدف است و از طریق آیتم Audit detailed file shared واقع شده در گروه Object access ایجاد میشود