Hướng dẫn Enable File and Folder Auditing trên Windows Server

Để đề phòng trước các trường hợp bị mất dữ liệu trên Windows Server mà ta cần kiểm tra nguyên nhân, ta có thể Enable File and Folder Auditing để hệ thống lưu lại Log hành động đối với các tệp và thư mục. Bài viết này sẽ hướng dẫn cách thực hiện

Enable Audit Object Access policy

Đầu tiên ta mở công cụ Run bằng tổ hợp phím Windows + R rồi nhập gpedit.msc rồi OK để mở.

Tiếp theo ta tìm theo đường dẫn sau Computer Configuration -> Policies -> Windows Settings -> Local Policies rồi ta click vào Audit Policy rồi click đúp vào Audit object access 

Tại giao diện hiện lên, ta tích vào các ô sau rồi lưu lại.

Tiếp theo để cập nhật policy ta mở lại Run và nhập lệnh sau gpupdate /force

Thông báo hiện như sau là đã thành công

Enable File and Folder Auditing cho từng tệp và thư mục cụ thể

Ta chuột phải vào thư mục cần Audit Log rồi chọn Properties

Ta chọn Tab Security rồi chọn Advanced

Tại giao diện hiện lên ta làm như sau

Tại phần này ta chọn User mà mình muốn kiểm tra Log hành động của User đó, trường hợp này ta chọn Everyone để giám sát tất cả

Tiếp theo ta chọn Type all để ghi lại log để cả hành động của User đó có thành công hay không rồi chọn Full control để ghi lại tất cả các hành động rồi OK để lưu lại

Hiển thị như sau là đã thêm thành công

Kiểm tra Log hành động

Để kiểm tra Log đối với các file và folder trên ta vào Event Viewer

Tiếp theo ta vào phần Security Log và chọn phần lọc event

Ta lọc theo ID 4663  để tìm các sự kiện trên

Ví dụ như ta vừa xóa đi một file, sư kiện sẽ lưu lại như sau:

Trong đó Subject là chủ thể thực hiện hành động, Object là file hoặc folder bị tác động, Process Information là chương trình tiến hành hành động và Access Request Information là loại hành động được thực thi

Bizfly Cloud chúc bạn thành công!