Me pidieron que buscara una manera de monitorear los cambios (modificación, cambio de nombre, eliminación, movimiento) de archivos en carpetas específicas en el servidor de archivos compartidos de la compañía (directorio compartido simple de Windows) Lo que me gustaría saber ahora es cómo averiguar el nombre / IP del usuario / computadora que realizó estos cambios. ¿Algunas ideas?
Respuestas:
Deberá habilitar la política de auditoría de acceso al objeto de auditoría para ese servidor en la política de grupo:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy
Para auditar el acceso no autorizado, active la auditoría de fallas.
Para auditar quién está accediendo, habilite la auditoría de éxito.
http://www.techotopia.com/index.php/Auditing_Windows_Server_2008_File_and_Folder_Access
También puede hacer clic con el botón derecho en cualquier carpeta, en la pestaña Seguridad, elegir Avanzado, luego elegir la pestaña Auditoría.
Luego puede agregar grupos de usuarios para auditar y elegir qué acciones le gustaría monitorear.
Toda la información de registro de movimientos, copias, eliminaciones, etc., estará en el registro de seguridad en el Visor de eventos del servidor.