Meu objetivo: desejo descobrir quem exclui arquivos em um compartilhamento de rede. Às vezes, os usuários reclamam que um arquivo está faltando e, como de costume, os demais são os culpados.
Eu tenho auditoria de arquivos ativada para esses compartilhamentos de rede. Se eu for ao visualizador de eventos para dar uma olhada nos eventos de auditoria, vejo uma tonelada deles, às vezes mais de 100 do mesmo usuário no mesmo segundo, apenas "ReadAttributes" ou "ReadData (ou ListDirectory)". (Eu suponho índice de pesquisa ou similar)
Como posso desabilitar o registro desses eventos para que eles não inundem meu log de eventos?
Minha solução é criar um filtro XML usando
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*
</Select>
<Suppress Path="Security">
*[EventData[Data[@Name='AccessMask'] and (Data='0x80' or Data='0x1' or Data='0x81' or Data='0x20080' or Data='0x20089')]]
</Suppress>
</Query>
</QueryList>
para exibir apenas os registros importantes , como alterações e exclusões. Há sempre entre 28 e 29k eventos no log de segurança.
Talvez por causa dessa inundação eu possa ver apenas os registros dos últimos minutos, mas não de 1 hora atrás ou mais. Além disso, se eu usar filtros XML. Por exemplo, se eu correr
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessMask'] and (Data='0x10000')]]
</Select>
</Query>
</QueryList>
para mostrar as exclusões de arquivos, só vejo as de como nos últimos cinco minutos. Se eu olhar dez minutos depois, vejo uma saída completamente diferente e não há mais arquivos excluídos há 15 minutos.
Existe um número máximo de eventos no log e, se for alcançado, os mais antigos serão excluídos? Um arquivo? Onde posso encontrar os registros de um dia atrás?
No geral, isso faz com que o log de auditoria não faça sentido, pois normalmente apenas após alguns dias (se não semanas) algum usuário descobre que um arquivo importante foi excluído. Sugestões?