Como auditar novos arquivos no Windows File Server (DFS)?

1

Eu tenho uma caixa do Windows Server 2012 R2 com a função de servidor de arquivos instalada (FSRM, Namespaces DFS, DFSR). Uma pasta do espaço para nome DFS aumentou substancialmente em tamanho nos últimos dois dias. A pasta tem muitas, muitas subpastas e assim por diante. Eu queria verificar o que está acontecendo lá, quais são os novos arquivos, talvez também quem está lá. Eu posso definir as configurações de auditoria para todos na pasta, mas ele cospe muita informação no log de segurança, não é realmente prático, eu acho. Eu realmente não tenho nenhuma ferramenta de terceiros instalada. Existe uma maneira mais fácil de coletar esse tipo de informação? Talvez um roteiro Powershell recebendo os últimos arquivos escritos?

    
por esserafael 21.11.2014 / 17:11

1 resposta

1

O log de eventos de segurança e o acesso a objetos de auditoria seriam a maneira "suportada" de fazer isso sem a adição de software de terceiros. Não há funcionalidade embutida, caso contrário, isso faria o que você está procurando.

A pesquisa por arquivos por data não é uma má idéia (você pode obter uma porta Win32 do utilitário Unix find para ajudar com isso), mas não é absolutamente garantido que um usuário não tenha alterado o horário de modificação em um arquivo. Não é 100% infalível como o Security Event Log, mas não é irracional.

Se as pastas sobre as quais você está falando estiverem sendo replicadas pelo DFS-R, suponho que você possa usar os logs do DFS-R (em %SystemRoot%\System32\Debug ) para tentar rastrear novas criações de arquivos (por meio de seus eventos de replicação). também.

    
por 21.11.2014 / 17:33