none
Server 2012 R2 datacenter 共享文件访问日志 设置无效 RRS feed

  • 问题

  • DDear All,

         我本地的环境是 2012 r2 域控,设置了 如下图 1、2、3所示 并做了 组策略刷新, 当时在日志里并没有访问地记录, 不知道是哪里出了问题,还有“安全日志”里的 登陆 注销 这些,在哪里设置可以取消掉。   万分感谢


    • 已编辑 opkeu 2020年11月17日 4:22
    2020年11月12日 6:18

答案

  • Hi,

    非常感谢您的反馈。

    根据您的描述,我们了解到我们未配置高级审核策略,只配置了传统的审核策略。但是根据提供的截图来看,我们应该是在高级审核策略上做了配置的。一旦我们在系统中使用了高级审核策略,该系统将不再使用所有传统审核策略。

    要配置文件审核,我们需要配置两个主要设置:GPO上的审核设置和文件夹上的审核权限。首先我们需要确保这两个设置都没有问题,然后执行对这个文件夹的访问,写入等操作,会记录事件日志4663。

    建议我们在高级审核策略上面配置文件审核策略。如下图:



    另外审核策略可以在OU上配置,即可以将需要审核的文件所在的计算机添加在OU里面,然后在OU上创建GPO,然后在GPO里面编辑高级审核策略。设置文件夹上的审核权限。之后执行相应的操作,检查下是否有事件日志记录。

    如有任何问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 opkeu 2020年11月19日 9:42
    2020年11月19日 7:56

全部回复

  • Hi ,

    请参考以下的链接:

    How to Track Who Accesses, Reads Files on your Windows File Servers

    注意:此回复中包含第三方链接,我们提供此链接旨在于方便参考, Microsoft 不能保证此链接中的任何信息和内容的有效性。

    确保编辑完审核策略之后,立即更新组策略:

    gpupdate / force

    然后去客户端去访问域控上的共享文件,执行删除或者是新建等操作。再打开域控服务器上的安全日志筛选出4663的日志ID即可,如下图所示:

    如果回复对您有所帮助的话,请您把回复标记为答复,方便论坛中其他有相同问题的用户快速找到有帮助的回复。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年11月13日 9:24
    版主
  • Hi ,

        我有进行强制刷新策略,并且服务器还重启过,但是在日志里,还是没有对应的日志记录。我不知道是哪里出了问题。 谢谢!

    2020年11月16日 4:08
  • Hi,您好,

    1,首先,安全日志里面的登录注销记录,是因为我们开启了审核LogonLogoff

    4634(S): An account was logged off.
    4624(S): An account was successfully logged on.

    详细信息,可以参考:
    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-logon
    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-logoff

    要取消这些日志记录,我们可以取消以下审核策略:(如果开启了高级审核策略的话,请取消Audit LogoffAudit Logon



    2,其次开启了审核对象访问,但是没有日志记录。排查步骤如下:


    1)请问我们配置了高级审核策略吗?高级审核策略默认会覆盖传统审核策略。


    验证是否开启审核策略,我们可以以管理员身份打开CMD,输入gpresult /h C:\report.html,查看是否有过配置。



    2)另外验证审核策略是否生效,最直接有效的是使用auditpol命令。


    auditpol /get /category:*


    如有问题,请随时联系我们。


    此致,
    Hannah Xiong


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月16日 8:44
  • Hi,

           我仔细的查看了一下策略,发现之前的策略是在“Default domain controllers policy”中设置的,包括审核策略的  审核登陆事件、审核进程跟踪、审核策略更改、审核用户访问等策略, 我现在取消了其他的策略,只保留了 “审核对象访问”。我域的环境如下:sr01(主域控,2008r2环境), sr02(辅助域控,12r2环境,一般操作都是在sr02上),我在sr02设置“Default domain controllers policy”策略的时候,显示的机器是sr01。我不知道和这个有没有关系,但是我之前设置地usb 策略却是正常运行了。  截图如下:


    • 已编辑 opkeu 2020年11月17日 4:24
    2020年11月16日 10:06
  • Hi, 

         我现在目前只更改了组策略中的 Default domain Policy 的“审核对象访问”审核策略,并 强制刷新了组策略(提示远程调用被取消之类的错误), 我用gpupdate / force 强制刷新,提示更新成功。高级策略是没有做过策略的,我看了本地安全策略中的 策略一项 是不可以改变地。如图所示。

    2020年11月17日 4:31
  • Hi,

       AD域内的角色如下:

    2020年11月17日 5:53
  • Hi,

    非常感谢您的反馈。

    根据您的描述,我们了解到我们未配置高级审核策略,只配置了传统的审核策略。但是根据提供的截图来看,我们应该是在高级审核策略上做了配置的。一旦我们在系统中使用了高级审核策略,该系统将不再使用所有传统审核策略。

    要配置文件审核,我们需要配置两个主要设置:GPO上的审核设置和文件夹上的审核权限。首先我们需要确保这两个设置都没有问题,然后执行对这个文件夹的访问,写入等操作,会记录事件日志4663。

    建议我们在高级审核策略上面配置文件审核策略。如下图:



    另外审核策略可以在OU上配置,即可以将需要审核的文件所在的计算机添加在OU里面,然后在OU上创建GPO,然后在GPO里面编辑高级审核策略。设置文件夹上的审核权限。之后执行相应的操作,检查下是否有事件日志记录。

    如有任何问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 opkeu 2020年11月19日 9:42
    2020年11月19日 7:56
  • Hi,

          万分感谢,真的就是设置了 高级审核就有了,我也不知道是哪里出了问题。我看了一圈高级审核里 都是默认设置,不过好歹现在是有了日志了!  麻烦了!

    2020年11月19日 9:43