Можно ли регистрировать события файловой системы в Windows или Linux? [дубликат]

этот вопрос уже есть ответ здесь:

можно ли файл журнала событий системы, такие как копирование, изменение, удаление и создание файлов и папок на рабочей станции? Я в основном использую Windows, но я хотел бы знать, возможно ли это в Linux слишком. Если такая функциональность не встроена, есть ли коммерческий продукт, который может предложить эту функциональность?

Это то, что я хотел бы включить в файл журнала.

Date         Time    User      Action   Type    Source                   Destination
2013-03-12   15:10   Austin    Copy     File    K:AlabamaMobile.txt    L:Mobile.txt
2013-04-15   09:12   Bradley   Create   Folder                           C:Chicago
2013-04-23   13:45   Cedric    Delete   Folder  G:Colorado
2013-05-04   16:03   David     Modify   File    D:FloridaMiami.txt

это может выглядеть не совсем так, но что-то похожее. Я хотел бы знать, кто что сделал, в какое время, где и в какую папку или файл. Это, казалось бы, очень простой журнал, но это было бы очень полезно.

обновление

решение, предложенное в связанный вопрос выше говорит, что нужно использовать Групповая Политика in Консоли Управления включить аудит объектов, а затем Просмотр Событий для просмотра журналов.

Я включил аудит для моего собственного имени пользователя в папке рабочего стола и попытался создать текстовый файл. В ту же секунду, что файл был создан, он 39 новых событий были произведены в журнале! Я посмотрел на часы, когда создал файл, а затем отфильтровал журнал для событий создана именно в эту секунду. Затем мне пришлось просмотреть их один за другим, чтобы найти событие, в котором четко указан путь к файлу и имя.

когда я попытался удалить файл (постоянный, а не перезапуск в bin), в ту же секунду было зарегистрировано 210 событий. Кто, черт возьми, хочет пройти через все события, чтобы найти правильный? Чтобы найти точное событие, я должен был бы знать заранее, что произошло определенное событие. Что делает всю цель этого бесполезной. И мне нужно знать что-то о четном, то есть имя созданного файла или что-то и попробуем отфильтровать. Есть события, 28000, хранящиеся в журнал безопасности.

по этой причине я не думаю, что это решение проблемы. Ну, она все равно не очень умная. Было бы намного проще использовать для этого специальный инструмент. Журнал безопасности в Windows регистрирует все виды безопасности события, которые мне совершенно неинтересны.

21
задан Samir
28.03.2023 7:17 Количество просмотров материала 3109
Распечатать страницу

1 ответ

звучит как работа для Контролировать Процесс на Windows, и inotifywait на Linux

примеры:

здесь скриншот Process Monitor in action

и вот inotifywait наблюдает за изменениями в определенном подкаталоге:

$ inotifywait -m /tmp/stuffthings/
Setting up watches.  
Watches established.
/tmp/stuffthings/ OPEN,ISDIR 
/tmp/stuffthings/ CLOSE_NOWRITE,CLOSE,ISDIR 
/tmp/stuffthings/ CREATE file.txt
/tmp/stuffthings/ OPEN file.txt
/tmp/stuffthings/ MODIFY file.txt
/tmp/stuffthings/ CLOSE_WRITE,CLOSE file.txt

Вы можете установить inotifywait и связанные с ним программы на Ubuntu, как это:

sudo apt-get install inotify-tools
4
отвечен Nate from Kalamazoo 2023-03-29 15:05

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх