Меня попросили создать запись аудита доступов к файлу. Журналом является просто подавляющим. Единственный двойной щелчок текстового файла, открывающегося в блокноте, создает больше чем 10 записей в журнале с идентификатором 4663 События. Я много раз вижу доступ READ_CONTROL. Что это и какое право доступа генерирует это?
Я хочу обрезать вниз сбор данных и зарегистрировать только тех, которые отражают фактическое открытие файла, чтобы читать или записать.
Это находится на Windows Server 2008.
Проще сделать это - отфильтровать события с ID 4656 (Открытие файла) и 4658 (Закрытие файла) вместе с 4663; таким образом вы сможете увидеть, кто открыл/закрыл файл и соответствующий READ_CONTROL, который регистрируется вместе с этими событиями, когда права доступа действительно используются.
Вот отличная ссылка: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4663
Дайте мне знать, если это не сработает или если я не обращаюсь к вам, и я могу быть более точным.