Расширенный аудит файлового сервера Windows

Как отслеживать изменения на Ваших файловых серверах, а именно кто и что делал с файлом; не удалил ли случайно; создал зачем-то ненужный файл и т.д.? Настроим расширенный аудит файлового сервера под управлением Windows.

В управлении групповыми политиками создаем новый GPO

Обозвали, нажали ОК. Теперь надо перейти в свойства нового объекта. Все, что касается аудита и другой безопасности, практически всегда находится в пределах конфигурации компьютера, поэтому туда-то мы сразу и идем

В параметрах безопасности указываем параметры журнала безопасности (в разделе “Журнал событий”) и настраиваем сам аудит (в разделе “Конфигурация расширенной политики аудита”)

Ставим размер, ставим максимальный срок хранения событий , метод сохранения “по дням” подставляется автоматом. Теперь настроим аудит

Теперь оптимизируем политику. Сначала применяем ее к серверу. Удаляем “прошедшие проверку”, чтобы политика не применялась на остальные серверы

Жмем “Добавить”, указываем тип объектов “Компьютеры” и прописываем туда имя сервера

Для того, чтобы ускорить применение политик, Microsoft рекомендует всегда указывать, какие конфигурации применять, а какие нет. У нас политика применяется на компьютер, поэтому в состоянии политики можем это указать

Теперь настроим аудит сетевого файлового ресурса

Применяем на файловом сервере новую политику и смотрим, применилась ли она (команды gpupdate /force и gpresult /r)