Windows File Server'da Dosyayı Kimin Sildiği Nasıl Tespit Edilir?

-

 gpedit.msc  komutu ile Local Group Policy Editor açın..


Aşağıdaki ayarlara kadar gidin 

Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Object Access;

Audit File System özelliklerini açarak dosya ve klasörlere istediğiniz erişim logunu açabilirsiniz. Ben örnekte sadece Success Log açtım.

Configure the following audit events -> Success;

enable audit file system policy on windows server

Yaptığınız ayarları kaydederek gpupdate komutunu uygulayın..



Paylaşılan Klasörde Silinen Dosya Denetim Ayarlarını Yapılandırma

Artık erişimi izlemek istediğiniz paylaşım ağı klasörünün özelliklerinde denetimi yapılandırmanız gerekiyor;

 Dosya Gezgini'ni çalıştırın ve klasör özelliklerini açın. 

Güvenlik sekmesine gidin. 

Gelişmiş düğmesini tıklayın -> Denetim sekmesine gidin.

Bu nesnenin denetim özelliklerini görüntülemek için yönetici olmanız veya uygun ayrıcalıklara sahip olmanız gerekir" mesajı görüntülenirse Devam düğmesini tıklayın.


configure audit settings on a shared folder

Ardından, denetim etkinliklerini yakalamak istediğiniz kullanıcıyı veya grubu belirtmek için Ekle düğmesini tıklayın. 

Tüm kullanıcıların erişim etkinliklerini izlemek istiyorsanız everyone grubunu belirtin. 

Daha sonra, nesneye erişim için kullanılan hangi izinlerin günlüğe kaydedilmesi gerektiğini belirtmeniz gerekir. Olay Günlüğüne yalnızca dosya silme olaylarını kaydetmek için Gelişmiş izinleri göster düğmesini tıklayın. 

Etkinlik listesinde, yalnızca klasör ve dosya silme etkinlikleri için denetimi bırakın 

configure audit of file deletion actions on shared folder on Windows Server 2016folder


Artık kullanıcı, paylaşılan ağ klasöründeki herhangi bir dosyayı veya klasörü silerse, Olay Kimliği 4663 event ıd'li dosya silme olayı loglara düşer. 

Olay Görüntüleyici mmc konsolunu (eventvwr.msc) açın, Windows Günlükleri -> Güvenlik bölümünü genişletin. EventID 4663'e göre olay günlüğü filtresini etkinleştirin.



Dosyayı veya klasörü hangi kullanıcını ne zaman sildiğini görüntüleyebilirsiniz...


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Ping Komutu ve CMD komutları

-
        Öncelikle kısaca ping’i açıklayalım ardından da ping kodlarının anlamlarına geçelim. Ping programı, 1983 yılında Mike Muuss tarafından yazılmış bir programdır. Bir makineye genelde 32 baytlık bir ICMP pakedi gönderir ve aynı pakedin geri gelmesini bekler. Bu basit program, birçok işe yarayabilir. Sunucu size ne kadar uzak ise, bu süre de o kadar artmaktadır. örneğin Türkiye’deki sunuculara 20-30 ms ile bağlanırsınız. Ama Almanya’daki bir sunucuya bağlanmak istediğinizde mesafe arttığı için bu süre 80-90 ms gibi seviyelere çıkar. ping 192.168.0.2 —>  ip deki diğer bilgisayara ufak veri paketleri gönderip, alarak bağlantıyı test eder. ping -a 192.168.0.2 —>  ip deki diğer bilgisayara ufak veri paketleri gönderip, alarak bağlantıyı test eder. “-a” parametresi ile ipdeki bilgisayarın adresi görüntülenir. ping -a -n 20 192.168.0.2 —>  -n parametresinin yanındaki değer kadar veri paketleri gönderilerek test edilir. pathping –> bu komut sayesinde routerlar üzeriden geçe
Devamı

Uzak Masaüstü Bağlantı (RDP) Kısayol Oluşturma

-
Resim
Sık kullandığınız Uzak Masaüstü bilgisayarlarınız her bağlanmanız gerektiğinde bağlantı bilgilerini tekrar tekrar yazmak yerine  aşağıdaki yöntemle çok basit bir şekilde masaüstümüzde kısayol oluşturarak kullanabiliriz Masaüstümüzdeyken sağ tık kısayol oluştur diyelim.  Bu alana tercihinize göre bilgisayar adı ya da ip kullanarak dolduralım. mstsc.exe /v:BilgisayarAdı   veya   mstsc.exe /v:IPADRESI Hepsi bu kadar....
Devamı

hiberfile ve pagefile.sys dosyaları nedir nasıl silinir?

-
Resim
pagefile.sys:   Bu dosya, bilgisayarımızın RAM’inin yeterli olmadığı durumlarda, Windows’un kullanması için hard disk üzerinde ayrılmış bir alanı ifade eder. Hard diskin bir bölümünün RAM olarak kullanılmasını sağlar. Bu dosyanın boyutu bizim tarafımızdan belirlenebilir veya dosya kaldırılabilir.  Bunun için; Bilgisayar Özelliklerinden, Gelişmiş Sistem Araçları bölümünde Performans bölümü Ayarlar seçeneğinden Gelişmiş sekmesindeki Sanal Bellek kısmını açmamız gerekiyor. Bu işlemlerin ardından pagefile.sys dosyasının artık var olmadığını göreceksiniz.  (Not: Bu işlemden bilgisayarınızda yavaşlamalar söz konusu olabilir. Sonuçta RAM bellek boyutunu düşürüyoruz.) hiberfil.sys:   Bu dosya bilgisayarın Hazırda Beklet (Hibernate) modu için oluşturulmuş bir dosyadır. Bilgisayarın bekleme konumunda ( uyku modu ) olması anlamına gelen Hibernation ile bilgisayar en düşük güç tüketim moduna geçerek   hazırda bekler . Disklerin dönmesi durdurulur, anakartınız destekliyorsa fan
Devamı