windows共享文件删除记录审核

公司内部设置了共享服务器。某一部分员工根据分工具有文件的修改、删除功能。可是随意删除文件的行为是不允许的，所以要有记录，操作删除的行为要有记录，以防止有人恶意删除共享文件时没有足够的证据。用到windows的审核策略即可。

Gpedit.msc打开组策略（或者secpol.msc本地安全策略）

选择“审核策略”的“审核对象访问”，双击打开，勾选“成功”



启用了审核策略之后就可以进行文件或文件夹审核的设置了

在文件夹中设置删除审核



切换到审核选项卡，然后选择相应的组（我这里是实验所以选择自己的管理员组，实际中设置具体的能够访问共享的组用户）



然后构选“删除”和“删除子文件夹及文件”



设置成功后，在文件夹内删除文件之后，在“计算机管理”中打开“事件查看器”选择“安全性”查找事件ID为560的日志，可以看到如下的记录





看到日志中记录的操作（特权）为：DELETE，用户名为Administrator（在域或者有C/S构架的网络中就会显示客户端的机器名及用户名，我这里是本地计算机，所以只有本地设置的相应组Administrator的记录），这样就可以记录删除文件的操作了。