Аудит файловой системы

В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит файловой системы, который определяет, создает ли операционная система события аудита, когда пользователь пытается получить доступ к объектам файловой системы.

События аудита создаются только для объектов с заданными системными списками управления доступом (SACL) и только в случае, если запрошенный тип доступа (для чтения, записи или изменения) и учетная запись, из которой делается запрос, соответствуют параметрам в списке SACL.

Если включен аудит «успеха», то запись аудита генерируется каждый раз, когда любая учетная запись успешно получает доступ к объекту файловой системы, имеющему соответствующий список SACL. Если включен аудит «отказа», то запись аудита генерируется при каждой безуспешной попытке любой учетной записи получить доступ к объекту файловой системы, имеющему соответствующий список SACL.

Эти события важны для отслеживания действий с объектами конфиденциальных или требующих особого мониторинга файлов.

Объем событий: зависит от настройки системных списков управления доступом файловой системы

Событий аудита не создаются для системных списков управления доступом файловой системы по умолчанию.

По умолчанию: не настроено

Код событияСообщение о событии

4664

Попытка создать жесткую связь.

4985

Состояние транзакции изменилось.

5051

Файл был виртуализирован.

 

Связанные разделы

Параметры расширенной политики аудита безопасности

 

 

Показ: