Auditoria de Arquivos no Windows Server

Como saber quem deletou os arquivos compartilhados no servidor?

No Windows Server é necessário realizar algumas configurações para que estes eventos sejam registrados e consultados posteriormente.

Ao pesquisar no CooperaTI achei uma vídeo-aula do Rafael Bernardes que ensina o seguinte passo-a-passo:

Na pasta com os arquivos compartilhados, selecione o menu ‘Propriedades’ e a aba ‘Segurança’, selecione o botão ‘Avançado’, abra a aba ‘Auditoria’, botão ‘Editar’, botão ‘Adicionar’, preencha o campo com ‘todos’, pressione ‘OK’ e na lista de check, na coluna êxito, marque as opções ‘Excluir subpastas e arquivos’ e ‘Excluir’, pressione ‘OK’, selecione o checkbox ‘Substituir entradas de auditoria herdáveis que existam em descendentes por entradas de auditoria herdáveis provinientes deste objeto’.

No ‘GPEDIT.MSC’ selecione a opção

Configurações do Windows > Configurações de Segurança > Diretivas Locais > Diretivas de Auditoria > Auditoria de Acesso a Objetos: Marque o checkbox ‘Êxito’. Assim, todos os arquivos que forem deletados serão registrados no LOG.

-A opção de Falha é para identificar os arquivos que tiveram a tentativa sem sucesso de execução, no nosso caso, exclusão.

Os registros do LOG serão listados na seguinte tela:

Menu Iniciar > Ferramentas Administrativas > Visualizador de Eventos > Logs do Windows > Segurança.

Por Log: Segurança

Informe o ID do evento: 4663 (Exclusão de arquivos ou pastas)

Exemplo de criação de personalização de modo de exibição: Technet

Precisamos personalizar o modo de exibição para que fique de fácil visualização a lista de arquivos excluídos.

Deixe uma resposta