0
如何獲取Windows中刪除的文件的信息,用戶通過共享網絡刪除了文件/文件夾?Windows事件日誌已刪除的文件信息
有沒有一個窗口記錄所有這些信息的地方。如果是,那麼在哪裏?
我們可以用c#編程跟蹤這些細節嗎?
A
回答
1
不,通常在文件刪除活動事實後沒有證據。除非您有一個執行日誌記錄的應用程序,否則不會創建日誌。
如果需要跟蹤文件刪除,可以使用FileSystemWatcher類來完成。它只會告訴你什麼被更改,但不是誰做了更改,並且只會跟蹤本地文件系統上的更改。對於網絡共享,這意味着您必須在承載共享的服務器上運行。
爲了跟蹤誰在網絡上共享刪除共享唯一的選擇,我能想到的是使用網絡數據包檢查。這是相當耗費資源並涉及的,因爲它需要您手動重新組裝和解釋SMB消息。不簡單。如果你真的想試試這個,那麼WinPcap(通過類似SharpPcap或PcapDotNet的東西)可以讓你訪問數據包,並在SMB protocol上做大量的閱讀。
只要知道那些是相當深入的水域即將跳入。
相關問題
- 1. Windows事件日誌和日誌文件
- 2. Windows事件日誌與文本日誌
- 3. 日誌 - 如何刪除日誌文件中的數據庫信息
- 4. 刪除OpenLDAP日誌文件
- 5. Powershell日誌刪除文件
- 6. 事件日誌文件已滿
- 7. 獲取已刪除文件/文件夾的svn信息
- 8. 滾動日誌文件和刪除舊的日誌文件
- 9. 事件日誌消息文件問題
- 10. 檢索已刪除的日曆事件?
- 11. 獲取日誌文件中的信息
- 12. DotNetNuke事件日誌表正在刪除
- 13. Windows事件日誌 - 事件ID 0
- 14. Google日曆Feed api已刪除事件
- 15. Windows事件日誌問題?
- 16. Windows窗體事件日誌
- 17. Windows事件日誌,水槽
- 18. 訂閱Windows事件日誌?
- 19. Windows事件日誌權限
- 20. SVN在已刪除目錄中的文件的日誌/差異
- 21. 日誌刪除的文件中的Bash
- 22. 將項目特定的日誌信息載入日誌文件
- 23. Ckan信息級別的日誌轉到錯誤日誌文件
- 24. 日誌信息到不同的日誌文件
- 25. Windows源事件日誌中的Windows事件日誌中的超壓警告
- 26. 事件日誌消息被另一個事件日誌覆蓋
- 27. 從svn日誌中提取已刪除文件的名稱
- 28. 如何保留已刪除文件的日誌?
- 29. 已刪除的日誌文件神祕地重現
- 30. 篩選信息日誌到Appender文件,除了特定的類
在服務器上配置審計跟蹤(組策略),它可以將刪除事件記錄到安全日誌 –