Como posso saber quando um arquivo foi lido ou acessado pela última vez no Windows?

Question

Como posso saber quando um arquivo foi lido ou acessado pela última vez no Windows?

Navegue suas respostas

#1 resposta do (8 votos)
#2 resposta do (7 votos)
#3 resposta do (4 votos)
#4 resposta do (0 votos)

13

Preciso determinar se um arquivo específico foi acessado nos últimos 2 dias.

Isso é possível no Windows Server 2008 R2?

windows security

por javapowered 20.01.2012 / 06:58

4 respostas

8

Na verdade, existe um jeito, mas ele está desabilitado por padrão desde o Vista / 2008 e eu acabei de verificar que ele está desabilitado por padrão no Win7 / 2008R2.

A configuração do registro NtfsDisableLastAccessUpdate localizada em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem agora é padronizada como 1 para fins de desempenho. Se você alterar isso para um 0, o NTFS atualizará a propriedade LastAccessTime do arquivo / pasta.

Você pode ver esse valor observando as propriedades do arquivo / pasta ou pode obter as informações com um script do PowerShell. Certifique-se de testar primeiro para garantir que o desempenho não seja tão ruim.

O NTFS nem sempre atualiza as informações imediatamente. De acordo com a Microsoft :

The NTFS file system delays updates to the last access time for a file by up to 1 hour after the last access.

por 20.01.2012 / 18:44

4

Como @murisonc apontou , os volumes NTFS no Windows podem rastrear o último tempo de acesso , eles simplesmente não o fazem por padrão, e é facilmente ativado configurando uma chave de registro.

Você pode combinar isso com uma ferramenta de monitoramento de integridade de arquivos, como Verisys ou Tripwire , que pode fornecer alertas e relatórios automatizados.

As ferramentas de auditoria do sistema de arquivos também podem ser uma opção, embora muitas dependam da ativação da auditoria de objetos, o que pode prejudicar o desempenho. Alguns outros contam com drivers de filtro do sistema de arquivos, mas esses drivers podem ser um pouco mais leves.

por 30.01.2012 / 16:56

0

Este guia deve fazer o truque para permitir a auditoria em um arquivo: link

É para o Windows 7, mas é quase idêntico a 2008.

Você também pode usar políticas de grupo para isso. Mas como você declarou que não é um administrador profissional, este não seria o caminho para você.

Você precisa adicionar um usuário ou grupo para auditar. Eu recomendo adicionar o mesmo grupo que tem acesso na pasta pai.

Você precisa informar aos usuários o que você audita. No seu caso "acesso a arquivos". Se você não informá-los, a auditoria pode ser ilegal.

por 20.01.2012 / 15:44

Tags windows security

Nginx Varnish Nginx Django? Impacto no desempenho da execução de diferentes sistemas de arquivos em um único servidor Linux

score 7 · Accepted Answer

Depois disso? Não, não acredito, a menos que uma ACL de auditoria tenha sido herdada de um pai ou definida diretamente no arquivo para a permissão "arquivo de leitura". Se você habilitar a auditoria do sistema de arquivos, poderá verificar os logs de segurança para encontrar essas informações que a maioria das pessoas enviará ou transferirá para algum tipo de ferramenta para análise.

Você também pode dar uma olhada em usar algo como o Tripwire para manter a integridade dos arquivos se isso se tornar uma meta.