Аудит файловой системы
В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит файловой системы, который определяет, создает ли операционная система события аудита, когда пользователь пытается получить доступ к объектам файловой системы.
События аудита создаются только для объектов с заданными системными списками управления доступом (SACL) и только в случае, если запрошенный тип доступа (для чтения, записи или изменения) и учетная запись, из которой делается запрос, соответствуют параметрам в списке SACL.
Если включен аудит «успеха», то запись аудита генерируется каждый раз, когда любая учетная запись успешно получает доступ к объекту файловой системы, имеющему соответствующий список SACL. Если включен аудит «отказа», то запись аудита генерируется при каждой безуспешной попытке любой учетной записи получить доступ к объекту файловой системы, имеющему соответствующий список SACL.
Эти события важны для отслеживания действий с объектами конфиденциальных или требующих особого мониторинга файлов.
Объем событий: зависит от настройки системных списков управления доступом файловой системы
Событий аудита не создаются для системных списков управления доступом файловой системы по умолчанию.
По умолчанию: не настроено
| Код события | Сообщение о событии |
|---|---|
4664 |
Попытка создать жесткую связь. |
4985 |
Состояние транзакции изменилось. |
5051 |
Файл был виртуализирован. |