Как посмотреть кто удалил файл из общей папки
Перейти к содержимому

Как посмотреть кто удалил файл из общей папки

  • автор:

Как узнать, кто удалил файл

Работая в офисе, когда все компьютеры объединены в одну сеть, когда к папкам и файлам имеют доступ и другие сотрудники фирмы, рискуешь в один прекрасный день не найти нужный файл, папку или документ. И тогда возникает вопрос: куда он делся, кто мог его удалить? Можно ли получить информацию о том, кто удалил файл с вашего компьютера? Можно, необходимо лишь включить аудит доступа к файлам и папкам.

Как узнать, кто удалил файл

Статьи по теме:

  • Как узнать, кто удалил файл
  • Как посмотреть журнал событий
  • Как узнать, кто работал на моем компьютере

Вам понадобится

  • Персональный компьютер, доступ от имени администратора

Инструкция

Для этого вам необходимо зайти в меню «Пуск» и кликнуть по опции «Панель управления». В открывшемся окне выбираете опцию «Производительность и обслуживание», в Windows 7 нужно выбрать «Система и безопасность». Перейдите по вкладке к пункту «Администрирование» и откройте его двойным щелчком левой кнопки мыши. В открывшемся окне выберите пункт «Локальная политика безопасности». Если окно не открылось при двойном клике левой кнопки мыши, то кликните правой кнопкой и откройте вход от имени администратора. В новом окне щелкаете по папке «Локальные политики» и далее выбираете папку «Политика аудита». Осталось сделать клик по пункту «Аудит доступа к объектам».

В открывшемся диалоговом окне поставьте флажки либо у опции «Успех» (с ее помощью будут отслеживаться все удачные попытки открыть файл), либо у «Отказ» (эта опция позволяет проследить неудачные попытки). Чтобы отследить все попытки доступа к файлам нужно установить два флажка. Последнее действие – нажать кнопку «Ок».

После установления аудита в «Свойствах» той папки, за операциями над которой вы хотите следить, в разделе «Безопасность» щелкните иконку «Дополнительно», выберите «Аудит» и в открывшемся окне кликните по слову «Дополнительно» и внесите имя пользователя или группы пользователей, чьи действия с данной папкой будут отслеживаться. Можно выбирать различные списки пользователей. Также стоит отметить, что данные параметры вы всегда сможете изменить, следуя аналогичному принципу работы. Теперь вы всегда будете в курсе, кто работал с файлами и по чьей неосторожности они исчезли. Данная функция пригодится людям, которые работают в различных компаниях за компьютерами.

Аудит удаления сетевых папок Windows.

В локальной сети организации, в общей сетевой папке для обмена документами кто-то периодически удалял папки. Пользователей более 200. Чтоб отследить источник проблемы был применен аудит сетевой папки. Как это сделать написано далее.

Все действия выполняются на файловом сервере с Windows Server 2012 в доменной сети. Файловый сервер не является контроллером домена.

Аудит настроен через графический интерфейс. Альтернативный вариант аудита – через скрипт.

Активация политики аудита.

Для активации аудита воспользуемся локальной групповой политикой на сервере.

Нажимаем сочетание клавиш Win+R

В открывшейся строке «Выполнить» вводим команду:

gpedit . msc

В открывшемся редакторе локальной групповой политики переходим в свойства «Аудит файловой системы» по пути:

Конфигурация компьютера >> Конфигурация Windows >> Параметры безопасности >> Конфигурация расширенной политики аудита >> Политика аудита системы – Объект локальной групповой политики >> Доступ к объектам >> Аудит файловой системы (свойства).

Активируем галочкой «Настроить следующие события аудита:»

Нажимаем кнопку «ОК» для сохранения изменений.

Обновляем настройки локальной групповой политики для этого в строке «Выполнить» или в CMD вводим команду:

gpupdate / force

Настройка аудита сетевой папки.

Выбираем нужную папку.

У папки открыт общий доступ для всех на чтение/запись.

Переходим в свойствах папки на вкладку «Безопасность». Нажимаем кнопку «Дополнительно».

В открывшихся доп. параметрах переходим на вкладку «Аудит». Нажимаем кнопку «Продолжить».

Добавляем новый элемент для аудита.

Нажимаем на строчку «Выберите субъект».

Можно указать каких-то конкретных пользователей или всех сразу, написав Все.

В доменной сети можно создать группы в AD и назначать аудит по группам.

Применяется к: Для этой папки, её подпапок и файлов.

Нажимаем строчку «Отображение дополнительных разрешений».

Удаление подпапок и файлов.

Нажимаем ОК для сохранения настроек.

Аудит можно настроить не только на удаление, но на любые действия, список которых предоставляет система.

Закрываем свойства папки и переходим в журнал событий.

Просмотр журнала событий аудита.

Нажимаем сочетание клавиш Win+R.

Аудит доступа к файлам и папкам Windows на примере Windows server 2012R2

Иногда бывает необходимо понять кто удалил/изменил/переименовал конкретный файл или папку. В ОС Windows для этого используется аудит доступа к объектам.

Аудит — это запись в специальные журналы информации об определенных событиях (источник, код события, успешность, объект и т.д. ). Объектом аудита может являться как любой файл или папка, так и определенное событие, например вход в систему или выход из нее, то есть можно записывать все события происходящие с конкретным файлом или папкой — чтение, запись, удаление и т.д., можно события входа в систему и т.д.

Необходимо понимать, что аудит забирает на себя.

Для того, чтобы можно было настраивать аудит файлов и папок необходимо предварительно включить эту возможность через локальные (или в случае если у Вас используется Microsoft AD групповые) политики безопасности.

В случае локальных политик необходимо запустить оснастку “Локальная политика безопасности”, для этого необходимо нажать комбинацию клавиш Win+R, в открывшееся поле ввести secpol.msc и нажать клавишу Enter.

Запуск локальной политики безопасности

В открывшейся оснастке в дереве слева необходимо перейти в раздел “Локальные политики” — “Политика аудита”.

Политика аудита

Далее необходимо выбрать необходимую нам политику — в данном случае это “Аудит доступа к объектам”. Именно этой политикой регулируется доступ к объектам файловой системы (файлам и папкам) и раскрыть ее двойным щелчком мыши. В открывшемся окне необходимо выбрать какие именно типы событий будут регистрироваться — “Успех” (разрешение на операцию получено) и/или “Отказ” — запрет операции и проставить соответствующие галочки, после чего нажать “Ок”.

Выбор политики

Теперь когда включена возможность ведения аудита интересующих нас событий и их тип можно переходить к настройке самих объектов — в нашем случае файлов и папок.

Для этого необходимо открыть свойства файла или папки, перейти на вкладку “Безопасность”, нажать “Дополнительно” и “Аудит”.

Безопасность и аудит

Аудит

Нажимаем “Добавить” и начинаем настраивать аудит.

Настройка аудита

Сначала выбираем субъект — это чьи действия будут аудироваться (записываться в журнал аудита).

Выбор субъекта

Можно вписать туда имя пользователя или группы, если имя заранее неизвестно, то можно воспользоваться кнопкой “Дополнительно” которая открывает форму поиска где можно выбрать интересующих нас пользователей и группы. Чтобы контролировались действия всех пользователей необходимо выбрать группу “Все”.

Пользовательские группы

Далее необходимо настроить тип аудируемых событий (Успех, Отказ, Все), также область область применения для аудита папок — только эта папка, папка с подпапками, только подпапки. только файлы и т.д., а также сами события аудита.

Для папок поля такие:

Типы событий для папок

А такие для файлов:

Типы событий для файлов

После этого начнется сбор данных аудита. Все события аудита пишутся в журнал “Безопасность”. Открыть его проще всего через оснастку “Управление компьютером” compmgmt.msc.

Сбор данных аудита

В дереве слева выбрать “Просмотр событий” — “Журналы Windows” — “Безопасность”.

Просмотр событий

Каждое событие ОС Windows имеет свой код события. Список событий достаточно обширен и доступен на сайте Microsoft либо в интернете.

Попробуем например найти событие удаления файла, для этого удалим файл на котором предварительно настроен аудит (если это не тестовые файл, то не забываем сделать его копию, так как аудит это всего лишь информация о действиях, а не разрешение/запрет этих действий). Нам нужно событие с кодом 4663 — получение доступа к объекту, у которого в поле Операции доступа Написано “DELETE” . Поиск событий в журналах Windows достаточно сложен, поэтому обычно используются специализированные средства анализа — системы мониторинга, скрипты и т.д.

Вручную можно, например, задать например такой фильтр:

Фильтры

Далее в отфильтрованных событиях необходимо найти интересующее нас по имени объекта.

Поиск нужного объекта

Открыть его двойным щелчком мыши и увидеть кто удалил данный файл в поле субъект.

Информация о файле

На этом демонстрация аудита доступа к файлам и папкам Windows на примере Windows server 2012R2 окончена. В нашей базе знаний вы найдёте ещё множество статей посвящённых различным аспектам работы в Windows, а если вы ищете надежный виртуальный сервер под управлением Windows, обратите внимания на нашу услугу — Аренда виртуального сервера Windows.

Кто удалил файл?

Приветствую. Собсна вопрос простой. Есть сервер [Server 2003], локальная сеть и пользователей штук 100.
У всех 100 пользователей есть доступ к серваку. Переодически пропадают файлы или папки, вероятно кто-то удаляет (нарочно или нет)
Есть ли подобные софты для отслеживания удаленных файлов? (кем, когда, какой). Посоветуйте

  • Вопрос задан более двух лет назад
  • 503 просмотра

4 комментария

Простой 4 комментария

Casufi

а зачем 100 пользователей доавать доступ на удаление ?
Андрей Васоц , ОС укажите.
Андрей Васоц @KeksPups Автор вопроса
12rbah, Server 2003
Решения вопроса 0
Ответы на вопрос 5

Jump

АртемЪ @Jump Куратор тега Системное администрирование
Системный администратор со стажем.

Есть ли подобные софты для отслеживания удаленных файлов? (кем, когда, какой). Посоветуйте

А что можно сказать не зная ОС?
В windows можно настроить аудит файлов.

Опять же цели непонятно — вам выследить злоумышленника, или вернуть нужный файл на место?
Чаще всего перемещают — нашли и на место.
Иногда удаляют — для таких целей удобнее теневые копии использовать.

Ответ написан более двух лет назад
Нравится 5 2 комментария
Андрей Васоц @KeksPups Автор вопроса
Server 2003. И выследить, и вернуть

Jump

АртемЪ @Jump Куратор тега Системное администрирование

Андрей Васоц,
Вернуть для этого теневые копии идеальный вариант.
Выследить — нужен аудит.
Уменьшить вероятность такого — права.

Обычно в больших шарах пользователь случайно захватит папку мышкой и утащит в соседнюю папку.
Даже не заметив этого. А все потом ищут. Тонкая настройка прав полностью проблему не решает, но сильно уменьшает вероятность такого.

И да — 2003сервер.
Я конечно сторонник — работает, не трожь. Но если уж надо настраивать и навешивать доп. фунционал, то неплохо бы обновить до вменяемых.
Я уж и не помню что-там и как.

есть софтины и системы для бекапа данных.
все остальное от лукавого.
Ответ написан более двух лет назад

Jump

АртемЪ @Jump Куратор тега Системное администрирование

Ну бэкап для таких целей дергать это из пушки по воробьям.
Бэкап это на случай если все пропало, и надо восстановить.

А тут как я понял рутина, тут теневые копии вполне неплохо выручают.
Удалили случайно? — Зашли в теневую копию на нужную дату и время, и выдернули оттуда.

АртемЪ, бекап это технология создания запасных копий системы 🙂
создание запасных копий через теневые копии это один из вариантов реализации бекапа.

Saboteur @saboteur_kiev Куратор тега Системное администрирование
pfg21, Как бэкап подскажет кто удалил файл?

Jump

АртемЪ @Jump Куратор тега Системное администрирование

pfg21, Я немного не о том. Бэкап это система резервных копий. И есть определенный регламент хранения и доступа к резервным копиям. С ним работает как правило либо системный администратор, либо оператор бэкапа.
В общем выдергивать какую-то мелочь из бэкапа рядовому пользователю это не совсем удобно и правильно.

А система тенеых копий это система создания снимков ФС на конкретный момент времени. Ее удобно использовать и для создания бэкапа.
Но в случае с файловой шарой ее удобно использовать как хранилище версий файлов по времени.
Да и корзину она неплохо заменяет, ибо корзина по сети не работает.
Это не бэкап — теневые копии пропадают при любых проблемах с диском, и при исчерпании резерва, но они удобны именно в использовании.
Пользователь может зайти и выдернуть сам нужный файл из копии созданной вчера, или в прошлую среду.

Девочки из бухгалтерии случайно затерли важный отчет — они тут же выдергивают утреннюю копию этого отчета из теневой копи. Случайно удалили важный файл — то же самое.

А бэкап это когда все пропало, зовут админа, и он восстанавливает систему, бд или вообще все из бэкапа.
Другой уровень. Никак не связанный с задачей.
В общем он обязательно должен быть, но он не удобен для решения данной задачи.

АртемЪ, все регламенты ты придумываешь сам — ну а как уж замудрил систему, так тебе и -тся 🙂
знаю что такое теневые копии на нтфс 🙂 костыль-прокладка в системе, имитирующая действия снапшотов на фс с CoW 🙂
на бтрфс в качестве изучения системы строил систему cовмещающую все твои доводы. там все просто и логично.
каждые полчаса делался снапшот системы.
каждую ночь делался дифференциальный к месячному бекап файлом на отдельную машину.
каждый месяц полный бекап файлом на отдельную машину.
снапшоты старее двух дней еженочно удалялись.
еще была мысль сделать ежечасный/получасный инкрементальный бекап файлом на отдельную машину, чтобы точно ничего не терять при порче носителя, но забил.
получвилось достаточно быстро эффективно и устойчиво к воздействиям.

бекап это создание копий для восстановления, на случай порчи файла.

даже если ты вручную делешь копии, это уже простейший бекап 🙂

все замудрения с иерархией взаимоотношений и бюрократией по восстановлению к бекапу имеет нулевое отношение ибо это не технические детали.
дай доступ в р/о к архиву пароленных бекапов и многие проблемы уйдут.

Saboteur, кстати да, для монитроинга изменений файлов настроить мониторинг потока изменений файловой системы.
приходилось пользоваться утилитой от Руссиновича Process Monitor. все кажет все пишет, но только гуй.

Jump

АртемЪ @Jump Куратор тега Системное администрирование

бекап это создание копий для восстановления, на случай порчи файла.

Именно так.
Но я сказал о том что в данном случае бэкап не удобен.
Гораздо удобнее теневая копия, а теневая копия бэкапом не является, по той простой причине, что никакой копии файла не создается.

Использовать бэкап в этих целях тоже можно — но сложно, дорого и неудобно — попробуйте организовать бэкап террабайтной шары за месяц, в 7 утра и в 14дня.
Сколько места он будет занимать, и насколько удобно будет простому пользователю доставать оттуда файлы?
Можно конечно заморочится, и развернуть бэкап на диске с дедупликацией, и дать туда доступ по сети пользователям, но зачем такие сложности, если есть решение проще?

знаю я что такое теневые копии на нтфс 🙂 костыль-прокладка в системе, имитирующая дейтсвия снапшотов на фс с CoW

В чем костыль?
Работают быстро и эффективно. Назовите ФС где снапшоты лучше реализованы чем в ntfs?.
Теневые копии базируются на принципе CoW.

АртемЪ, zfs, btrfs — снапшот на уровне блоков файловой системы, CoW встроен в саму архитектуру файловой системы.
а не отдельной прослойкой на уровне драйверов операционной системы.

в теневой копии создается копия индекса занятых блоков фс и отметка что эти блоки защищены от записи. при попытке записи в занятый блок, с фс затребуется новый блок, в него скопируется информация со старого и в индекс фс (не снапшота) запишется указатель на этот блок, после чего с блоком можно делать что угодно.
старые данные сохранятся в старых блоках указатели на которые будут прописаны в индексах файла в снапшоте. все ок.

опять «сложно, дорого и неудобно» это потому что ты так придумал/недодумал 🙂
для больших объемов как раз и придуманы инкрементально-дифференциальные системы бекапа.
в твоем терабайте наврядли меняется весь терабайт документов сразу, весь и каждый день.
десятки-сотни активно редактируемых документов составляют проценты от этого объема, который недвижимым грузом лежит все время.
вот только эти изменяющиеся и бекапят в инкрементальный бекап. он получается маленьким и быстро создаваемым.
а уж весь террабайт можно и раз в месяц пожать. долгая операция, но редкая.
при полном восстановлении тож проблемм нет — развернул полный бекап, а потом на него сверху наложил дифференциальный, либо последовательно весь набор инкрементов. и ок.
но обычно и этого не требуется, тут уж зависит от потребностей. обычно хватает доступа к старым версиям.

если у тебя в данном терраюайте куча похожих документов то зачем дубли хранить ??

мне кажется проблема в том что ты бекап понимаешь как то монструзоно 🙂 это что такое большое с админами, операторами и т .д. от того мощное и тяжелое и неповоротливое.
но это не так (по моему мнению)
файловый бекап можно и своими силами сделать. даже без рута и прочих прав.
скрипт сжатия раром/7зипом (с инкрементами по вкусу) и отправка в облако. скрипт в планировщик заданий. и ок.
и таких статеек в тырнете навалом.
кстати в нтфс есть отличная штукенция — бит архивности. и рар отлично с ним работает. так что инкременты делаются однострочником.

Jump

АртемЪ @Jump Куратор тега Системное администрирование

pfg21, Ты можешь предложить систему бэкапа для файловой шары из которой обычный пользователь сможет достать файл который он случайно удалил менее чем за минуту?

файловый бекап можно и своими силами сделать. даже без рута и прочих прав.

Зачем мне объяснять как сделать бэкап? Это одна из моих специализаций.
Как делать бэкапы я хорошо знаю.

Но речь то идет про то как пользователям файлы удаленные с шары восстанавливать.
И я пытаюсь вам объяснить что бэкап для такой задачи крайне неудобен.
Как пользователи будут работать с бэкапом? Специальную файловую шару для доступа к бэкапам организовывать? Ладно если он не сжат — а то еще и распаковывать придется.
А если речь идет про инкрементный бэкап то он вообще не применим.

Jump

АртемЪ @Jump Куратор тега Системное администрирование

Один щелчок мышкой на папке- тыкаем теневые копии- выбираем нужную дату — копируем нужный файл.
Все.
Какая система архивации так позволяет.

Пользователю то пофиг какие у вас там бэкапы дифференциальные или инкрементные ему то откуда знать — ему файл нужно достать.
Или вы предлагаете чтобы пользователи сами бэкапы создавали и разбирались в этом?

Бэкап он для администратора — если что-то случилось админ придет и восстановит.
Он не для пользователя.
А я говорю про удобную систему для пользователя.

И самое главное — бэкап он редко делается чаще чем раз в сутки. Потому что требует много ресурсов и занимает много времени.
А теневая копия делается сколько надо — два-три раза в день не проблема. Делается она мгновенно.

АртемЪ, ты путаешь систему бекапа и интерфейс программы.
у многих крупных коммерческие бекаперов такое есть. к примеру вот погуглил чутка — бекапер с граф.интерфейсом с восстановлением файлов с выборкой версий из бекапа. https://help.2brightsparks.com/support/solutions/a.
клиент восстановления обращается по собственному протоколу к серверу хранения бекапов и делает выборку версий файлов леэащих в хранилище, отображает спиосок пользователю и потом производит запрос необходимой версии файла для восстанолвения на клиентской машине.
все возможно — было бы желание сделать 🙂

опять же ограниченность ваших используемых средств ограничивает горизонт познания.
все возможно. инкрементальный бекап не тяжел, ибо в инкремент уходит небольшой объем только лишь изменнного, и поэтому его можно делать весьма часто.
но вам этого судя по всему не понять.
пардон что занял ваше время.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *