Windows Server 共享操作日志及分析工具

前言：
作为系统管理员可能会在企业搭建域环境及配置域共享目录，但共享目录的权限设置繁琐，因此大多数子目录都是部门可读可写，怎样审查谁做了新增删除文件成为管理的重点。

其实我们可以通过Windows自带的审计服务完成该工作。

一，首先打开服务管理器，点击本地安全策略

二，在审核对象访问中，配置“成功”，点击确定

三，右击你要共享的文件夹，设置好共享及权限（属性-共享-高级共享）。

然后，点击审核-添加，添加Everyone，权限配置根据自己的需要。（可配置完全访问）

这里我只配置了新增和删除，参考图：

至此，已经配置好Windows指定目录的文件审计了。

我们可以打开windows自带的事件日志查看器，点击安全查看是否成功。

这里日志有记录，但一条条找太过麻烦，可以用到工具：FullEventLogView

https://www.nirsoft.net/utils/full_event_log_view.html

特点在于直观展示、图形化操作，可以将所有类型日志进行整合，便于按照时间统一分析所有日志，此外具有一定的检索功能。

可以分析该主机日志、导出日志、以及连接到远程主机分析日志。

以下为参考配置：