查找文件被删除的记录日志

最新推荐文章于 2024-06-05 16:29:01 发布
最新推荐文章于 2024-06-05 16:29:01 发布
阅读量2.5w 收藏 57
点赞数 9
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39264896/article/details/126965391
版权

在实际工作中总是遇到这样的问题,存在公共盘的文件在某个时间突然消失,被删除。但是因可编辑这个公共盘的人员过多,想要查看文件被谁删除比较困难,所以我们可以做如下操作。

1.首先进入文件服务器中,打开本地组策略编辑器或在文件服务器运行输入gpedit.msc。

2.进入本地组编辑器-计算机配置-Windows设置-安全设置-高级审核策略配置-对象访问-审核文件系统。

 3.编辑审核文件系统。

 4.找到需要审核的文件夹(或者找到共享的文件夹),右键选择“属性”—“安全”—“高级”—“审核”—“添加”。

这里添加主体选择domain users(加域) 或者everyone(没加域)

 

根据需要设置权限(如只需要删除的记录可以只选择删除子文件夹及文件即可)

5.然后再管理工具中找到“事件查看器”—“Windows日志”—“安全”,筛选日志ID为4663的日志(Windows Logs -> Security), 我们可以看到它包含有关已删除文件的名称、删除文件的用户的帐户和进程名称的信息.

筛选如下所示。

根据筛选的内容可以查看到被删除的文件,以及谁删除此文件。

 

 

 

 

 

 

 

 

 

IT学习小白
关注
  • 9
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何在群晖NAS中找出谁删除的共享文件夹中的文件
06-09 8268
如何找出谁删除的共享文件夹中的文件? 如何找出是谁误删了文件?那就是群晖的“日志中心”,DSM的日志中心能够集中管理群晖NAS的各项的活动,例如文件上传、下载或是删除记录,当特定事件发生时还可以向管理员发送通知,让管理员掌确实握系统状况。 除了基本的文件传输记录之外,在套件中心安装“日志中心”套件之后,管理员还能够使用日志中心的进阶功能——集中记录网络设备的运作状况。 日志对于服务器是至关重要的,就好像日记能够记下每天发生的重要事情,能够帮我们IT进一步分析服务器是否出现执行错误、异常入侵或是人
删除60天前的指定文件并统计删除文件数量记录日志
03-09
############################################################# #脚本文件名:job_clean_YCDTDATA_log.sh #作者:Docker #类型:Shell脚本 #功能:删除60天前的指定文件并统计删除文件数量记录日志 #说明:空间占用高于60%时删除60天前的文件,占用率高于80%时,删除30天前的指定文件 #删除方式:高于60%时使用rman+deletearchivelog,高于79%时使用武力删除 #调用方式:可单独调用,或配置定时任务自动执行脚本 #############################################################
如何看或删除电脑历史操作记录
03-09
如何看或删除电脑历史操作记录
看和删除文件拷贝记录USBViewer.zip
12-30
看和删除文件拷贝记录
文件记录操作日志文件——如何记录文件服务器操作
最新发布
Dcymit的博客
06-05 391
洞察眼MIT系统是一款功能强大的上网行为管理软件,除了实时监控、行为分析、报表统计等功能外,还具备强大的文件操作日志记录功能。:洞察眼MIT系统可以实时监控企业内所有终端用户的文件操作行为,包括文件的创建、修改、删除、复制、移动等,并将这些操作记录日志文件中。:首先,需要在企业的所有计算机上安装洞察眼MIT系统,并根据企业的实际情况进行配置,包括设置监控范围、日志保存位置等。:洞察眼MIT系统提供灵活的询和统计功能,管理员可以根据需要询特定的文件操作记录,并生成详细的报表和统计图。
Linux服务器常用巡检命令,日志
weixin_45840241的博客
05-12 1147
上面示例中,显示了从本地主机到目标主机(192.168.243.102)经过的1个路由器或中间节点的信息,包括它们的IP地址(192.168.243.102)、主机名(linux102)、以及数据包往返时间RTT(0.161 ms 0.132 ms 0.097 ms)。Curr当前网速 ,MAX 最大网速。当 curr 接近Max 时为负荷比较高的状态。下半部分:Outgoing,是从这块网卡出去的流量。上半部分:Incoming,是进入网卡的流量;如果有类似以上的输出,则网络通畅了。
如何找是谁删除服务器文件
mark422的博客
08-12 1万+
如何找指定文件被删除的记录? 首先要记录到个人最好是在域环境内; 在文件服务器运行输入gpedit.msc 2.依次选择“计算机配置”—“Windows设置”—“安全设置”—“高级审核策略配置”—“系统审核策略”—“对象访问”—“文件审核系统” 双击“审核文件系统”,勾选“成功” 前往需要审核的文件夹,右键选择“属性”—“安全”—“高级”—“审核”—“添加” 一般来说这里选择domain...
用“审核对象”功能记录文件删除记录
weixin_34284188的博客
04-08 456
中小企业用Windows Server作为服务器系统应该还是占绝大多数的,而共享文件夹映射为网络驱动器供员工访问、存储数据也是最普遍的应用之一。 凡事有利有弊,这个对立面是永远存在的,文件共享访问同样也存在这样的问题。虽然可以通过NTFS的权限以及在域里面为用户分组进行权限的管控,但很难做到对每一个独立用户的权限管控,因此在实际应用中就总有这...
域控windows文件删除记录
Zola的博客
09-04 2288
用“审核对象”功能记录文件删除记录 一、打开“审核对象访问” 运行gpmc.msc打开组策略管理,右键单击域控制器,新建一个“GPO并链接”,命名为“文件访问记录”(名字可随便自己取)。 在右侧“安全筛选”中添加要记录的组、用户。 右击刚添加的“文件访问记录”,选择“编辑”打开“组策略编辑器”,依次定位到“计算机配置→Windows设置→安全设置→本地策略→审核策略”,双击右侧的“审核对象访问”,勾选“定义这些策略设置”及“成功”项,“失败”项不需要打勾。 二..
文件服务器文件删除记录询,Windows server2008r2共享文件操作记录服务器日志方法...
weixin_34336527的博客
07-30 5653
在单位里面,我们经常共享文件让局域网用户访问使用,虽然可以设置共享文件访问权限,但是经常还是有一些不安分的人,在访问共享文件时不小心或恶意删除共享文件的行为,或者复制共享文件的内容等。但有时候为了工作需要,又不能随意缩小共享文件访问权限。这种情况下比较折中的方法是:记录共享文件访问日志,这样至少网管可以事后追溯访问者的共享文件访问行为,相对来说可以有了一份保证。Windows 2008 R2共享文...
[git]文件删除记录
热门推荐
小蜗牛之家
07-09 1万+
方法: git log -p filename (相对路径)解释: git log -p filename:文件提交记录(包含diff)
Linux使用shell脚本定时删除历史日志文件
01-09
`find`命令随后用来找比`TMP_FILE`更旧的文件删除它们,同时处理空目录。最后,脚本释放锁并删除锁定文件。 `del_history_files.cfg`配置文件包含清理规则,例如`/home/logs/nginx=720`表示 `/home/logs/nginx`...
Linux下自动删除归档日志文件的方法
09-15
在Linux操作系统中,管理和维护日志文件是系统维护的重要部分。日志文件可以积累大量的数据,...不过,务必谨慎处理日志删除,因为日志数据可能包含重要的系统信息和错误记录删除前应确保已备份或不再需要这些数据。
清理删除日志文件脚本
02-25
3.统计记录删除文件数量和清单 4.删除文件 调用方法:删除32天前monitor_logs文件夹下的log文件 sh $shpath/cleanLogFile.sh /root/sysmonitor/monitor_logs "*.log" 32 删除7天前monitor_logs文件夹下的txt...
使用forfiles命令批量删除N天前文件
09-21
此外,还可以考虑增加日志记录功能,以便跟踪删除操作的情况。 #### 注意事项 - 在执行删除操作之前,请确保已备份重要的数据。 - 定期检脚本执行的日志,确保脚本按预期工作。 - 如果使用的是较旧的Windows版本...
windows日志文件看与清理
qq_45768092的博客
09-12 8333
日志看 (1) 启动Windows实验台,点击:开始 - 控制面板 - 管理工具 - 事件看器。如下图所示。 (2) 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。 安全日志文件:%systemroot%\system32\config\SecEvent.EVT; 系统日志文件:%systemroot%\system32\config\SysEvent.EVT; 应用程序日志文件
文件服务器如何启动日志功能知道删除移动是谁干的?
weixin_34228662的博客
11-08 457
文件服务器如何启动日志功能知道删除移动是谁干的? 文件服务器如何启动日志功能知道删除移动是谁干的?文件服务器如何启动日志功能,可以详细记录每个用户和连接的读取\运行\写入的各类记录。用户通过映射盘访问服务器上的文件夹,每层文件夹都有不同的权限控制,因为服务器上经常有文件被删除或移动,现在我想知道是谁干的,还有时间,有没有什么方案可以实现,环境:win2003serve...
在 Windows 10/11 上哪里可以找到已删除文件
qq_23996309的博客
03-11 1679
您是否曾经问过自己这样的问题:“我可以在计算机上找到已删除文件吗?”或“有没有办法让您在计算机上找到已删除文件?”不再搜索,您的问题已得到解答。有时您可能会删除某个文件,但有一天又需要它;在某些情况下,Windows 10/11 可能会在您不知情的情况下删除您的文件。损坏的文件或恶意软件同样可能会删除它们,因此数据恢复是一项需要学习的基本技能。
linux 被删文件记录
09-06
在Linux系统中,我们可以使用一些命令和方法来被删文件记录。 首先,我们可以使用命令`ls`来看目录中被删除的文件。通过在命令中添加`-a`选项,可以显示所有文件,包括隐藏文件。使用`ls -l`命令可以显示文件的详细信息,包括文件的权限、所有者、大小和修改日期等。如果我们注意到某个文件或目录突然消失,我们可以尝试使用`ls`命令来看是否有被删除的记录。 其次,Linux系统中有一个特殊的目录`/var/log`用于存储系统日志文件。我们可以进入该目录,看`/var/log/syslog`或`/var/log/messages`等常见的日志文件找关于文件删除记录。使用`cat`命令或`less`命令可以打开这些日志文件,然后使用关键词搜索来定位被删文件的相关信息。 另外,Linux系统还提供了一些工具来恢复被删除的文件,如`extundelete`和`testdisk`等。这些工具可以扫描文件系统,并尝试恢复被删除的文件。使用这些工具需要以root权限运行,并且需要在文件删除之后尽快使用,因为随着时间的推移,文件可能会被重写或覆盖。 总之,在Linux系统中被删文件记录可以通过使用`ls`命令看目录,看系统日志文件以及尝试使用恢复工具来实现。但需要注意的是,只有在文件被删除之后尽快采取行动,才能提高恢复被删文件的成功率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值