Fui solicitado a criar um registro de auditoria de acessos a arquivos. Pelo log é simplesmente esmagadora. Um único clique duplo de uma abertura de arquivo de texto no bloco de notas cria mais de 10 entradas de log com identificação de evento 4663. Eu vejo um acesso READ_CONTROL muitas vezes. O que é isso e qual permissão de acesso gera isso?
Eu quero reduzir a coleta de dados e registrar somente aqueles que refletem uma abertura real de um arquivo para ler ou escrever.
Isso está em um Windows Server 2008.
Uma maneira mais fácil de fazer isso é filtrar as identificações de evento 4656 (abertura de um arquivo) e 4658 (fechamento de um arquivo) junto com 4663; Dessa forma, você pode ver quem abriu / fechou o arquivo e o READ_CONTROL correspondente que é registrado junto com esses eventos quando as permissões de acesso são realmente usadas.
Veja uma ótima referência: link
Deixe-me saber se isso não funciona para você ou se não estou abordando sua preocupação e posso ser mais específico.