Saya perlu menentukan apakah file tertentu diakses dalam, katakanlah terakhir, 2 hari.
Apakah ini mungkin pada Windows Server 2008 R2?
Saya perlu menentukan apakah file tertentu diakses dalam, katakanlah terakhir, 2 hari.
Apakah ini mungkin pada Windows Server 2008 R2?
Jawaban:
Setelah fakta itu? Tidak, saya tidak percaya demikian kecuali ACL audit diwarisi dari orang tua atau disetel langsung pada file untuk izin "baca file". Jika Anda DO mengaktifkan audit sistem file, Anda kemudian dapat melihat log keamanan untuk menemukan informasi ini yang kebanyakan orang akan pipa atau transfer ke beberapa jenis alat untuk parsing.
Anda juga dapat melihat menggunakan sesuatu seperti Tripwire untuk menjaga integritas file jika itu menjadi tujuan.
Sebenarnya ada cara tetapi sudah dinonaktifkan secara default sejak Vista / 2008 dan saya baru saja memverifikasi itu dinonaktifkan secara default di Win7 / 2008R2.
Pengaturan registri yang NtfsDisableLastAccessUpdate
terletak di HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
sekarang default ke 1 untuk tujuan kinerja. Jika Anda mengubahnya ke 0 maka NTFS akan memperbarui properti LastAccessTime dari file / folder.
Anda dapat melihat nilai ini dengan melihat properti file / folder atau Anda dapat menarik informasi dengan skrip PowerShell. Pastikan Anda menguji terlebih dahulu untuk memastikan kinerja tidak terlalu buruk.
Juga NTFS tidak akan selalu memperbarui informasi dengan segera. Menurut Microsoft :
Sistem file NTFS menunda pembaruan ke waktu akses terakhir untuk file hingga 1 jam setelah akses terakhir.
NtfsDisableLastAccessUpdate
?
Seperti yang ditunjukkan @murisonc , volume NTFS pada Windows dapat melacak waktu akses terakhir, mereka tidak secara default, dan itu mudah diaktifkan dengan menetapkan kunci registri.
Anda dapat menggabungkan ini dengan alat pemantauan integritas file, seperti Verisys atau Tripwire , yang dapat memberikan peringatan dan pelaporan otomatis.
Alat audit sistem file juga bisa menjadi pilihan, meskipun banyak yang bergantung pada mengaktifkan audit objek, yang dapat mematikan kinerja. Beberapa yang lain hanya mengandalkan driver filter sistem file, tetapi driver ini bisa agak flakey.
Panduan ini harus melakukan trik untuk mengaktifkan audit pada file: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html
Ini untuk Windows 7 tetapi hampir identik dengan 2008.
Anda juga dapat menggunakan kebijakan grup untuk ini. Tetapi ketika Anda menyatakan bahwa Anda bukan admin profesional, ini tidak akan menjadi jalan bagi Anda.
Anda perlu menambahkan pengguna atau grup untuk diaudit. Saya sarankan menambahkan grup yang sama yang memiliki akses pada folder induk.
Anda harus memberi tahu pengguna apa yang Anda audit. Dalam kasus Anda "akses file". Jika Anda tidak memberi tahu mereka, audit itu mungkin ilegal.