аудит файловой системы - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - аудит файловой системы (http://forum.oszone.net/showthread.php?t=203438)

аудит файловой системы

на DC есть расшаренная папка с пользовательскими файлами, хочется видеть, кто когда какие файлы менял, удалял и т.п.

ПКМ на папке -> Свойства -> Безопасность -> Дополнительно -> Аудит
добавляем Domain Users; ставим галки Успех:

Содержание папки / чтение данных
Создание файлов / запись данных
Создание папок / дозапись данных
Удаление подпапок и файлов
Удаление

то же для Domain Admins
в журнале Безопасности событий не появляется

включаю доменну политику Аудит доступа к объектам
в Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита
получаю в категории Файловая система записи "Состояние транзакции изменилось" и больше ничего

включаю локальную политику Аудит файловой системы
в Конфигурация Компьютера -> Конфигурация Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита системы -> Доступ к объектам
получаю записи каждохо чиха - проверку файлов антивирусом, запущенным от имени системы

ЧЯДНТ?!

Дабы не плодить напишу здесь.

По сути у меня похожая ситуация, только с некоторыми отличиями.
Рядовой сервер 2008 R2 (FSRM) входит в домен . Политика аудита включена на уровне КД. Надо отслеживать создание/удаление файлов. Настроил аудит на нужных шарах, события нужные появляются в Безопасности, но... размер данного журнала по умолчанию 16 Мб, в этот размер умещается всего лишь 1 час жизни сервера (ибо как написали выше, фиксируется каждый чих). Отсюда вопрос как запретить записывать события некоторых "Категорий задач" (Как пример "Сведения об общем файловом ресурсе")

Отвечаю сам себе.
И так политику аудита как написал выше включили выше на КД. Повлиять на это я никак не могу, ну да и не надо особо. В общем на локальном сервере заходим в Локальную политику безопасности (secpol.msc) и переходим в "Конфигурация расширенной политики аудита" (из названия думаю понятно, что это такое) также нужно включить переопределение, что это такое и где включить написано как только вы зайдете в "Конфигурация расширенной политики аудита". Для себя в этом меню настроил только доступ к объектам/аудит файловой системы...
Все теперь журнал безопасность пустой (даже не фиксируется вход выход (это можно также настроить)), кроме нужного мне аудита создания/удаления файлов (событие 4663) общих ресурсов...