默认情况下WIN 7不会记录文件操作,但是可以通过打开“审核”功能来实现对某文件夹或文件的动态进行记录。从WIN 7 的帮助中复制一些,看有没有帮助。
监视对象的创建或修改为您提供了追踪潜在安全性问题的方法,帮助您确保用户帐户的可用性,并在可能出现安全性破坏事件时提供证据。
应该被审核的最常见的事件类型包括:
访问对象,例如文件和文件夹。
用户帐户和组帐户的管理。
用户登录到系统和从系统注销。
本部分包含:
审核策略
定义或修改事件类别的审核策略设置
应用或修改本地文件或文件夹的审核策略设置
查看安全日志
-----------------
可通过设置权限类型将审核策略应用于计算机上的各个文件和文件夹,以便在安全日志中记录成功或失败的访问尝试。
本地管理员是完成此过程所需的最低组成员身份。请查看本主题中“其他注意事项”中的详细信息。
应用或修改本地文件或文件夹的审核策略设置的步骤
打开 Windows 资源管理器。
右键单击要审核的文件或文件夹,单击“属性”,然后单击“安全”选项卡。
单击“编辑”,然后单击“高级”。
注意
如果没有以 Administrator 组成员的身份登录到此计算机,则必须提供管理凭据才能继续操作。
在“<对象> 的高级安全设置”对话框中,单击“审核”选项卡。
请执行下列操作之一:
若要设置对新用户或组的审核,请单击“添加”。在“输入对象名称以进行选择”中,键入需要的用户名或组名称,然后单击“确定”。
若要删除现有组或用户的审核,则单击该组名或用户名,单击“删除”,单击“确定”,然后跳过其余过程。
若要查看或更改现有组或用户的审核,单击其名称,然后单击“编辑”。
在“应用到”框中,单击您要进行审核的位置。
在“访问”框中,通过选择相应的复选框指明您要审核的操作:
若要审核成功事件,则选择“成功”复选框。
若要停止审核成功事件,则选择“成功”复选框。
若要审核未成功的事件,则选择“失败”复选框。
若要停止审核未成功事件,则选择“失败”复选框。
若要停止审核所有事件,则单击“清除全部”。
如果要阻止原始对象的后续文件和文件夹继承这些审核条目,则选择“仅将这些审核项目应用到此容器中的对象和/或容器”复选框。
重要
设置文件和文件夹的审核前,必须通过为对象访问事件类别定义审核策略设置,来启用对象访问审核。如果不启用对象访问审核,在设置文件和文件夹的审核时,将收到错误消息且不会审核任何文件或文件夹。
其他注意事项
必须以管理员组的成员身份登录,或必须被授予组策略中“管理审核和安全日志”权利才能执行此过程。
若要打开 Windows 资源管理器,请单击“开始”,指向“所有程序”,单击“附件”,然后单击“Windows 资源管理器”。
启用了对象访问审核之后,即可在“事件查看器”中查看安全日志以检查更改的结果。
只能在 NTFS 驱动器上设置文件和文件夹审核。
如果看到下列任一情况,则表明审核是从父文件夹继承的:
在“<文件或文件夹> 的审核条目”对话框的“访问”框中,复选框不可用。
在“<文件或文件夹> 的高级安全设置”对话框中,“删除”按钮不可用。
因为安全日志有大小限制,请仔细选择要审核的文件和文件夹。还请考虑到用于安全日志的磁盘空间大小。安全日志的最大值在“事件查看器”中定义。
1、进入电脑桌面,在键盘上按“Win+R”打开“运行”窗口,输入“sysprep”命令后按回车打开服务窗口即可看到C:\Windows\System32\sysprep文件夹,双击其中的”Panther“进入;
2、进入后,再使用记事本打开“setupact.log”,其中既是电脑的使用记录。