Видалення файлів на Windows 2012 Server може призвести до втрати важливих даних і може викликати безліч незручностей. Якщо ви хочете з'ясувати, хто видалив файл, то вам буде потрібно слідувати деяким інструкціям і використовувати спеціальні інструменти.
Найпростіший спосіб дізнатися, хто видалив файл, - це перевірити журнали подій. Журнали подій дозволяють відстежувати різні дії, що відбуваються на сервері, включаючи видалення файлів. Щоб знайти інформацію про видалення файлу, відкрийте Журнал подій через Панель керування, вибравши Система та безпека, а потім журнали подій. У розділі журнали подій знайдіть події, пов'язані з видаленням файлів.
Ще одним способом з'ясувати, хто видалив файл, є використання інструментів моніторингу. Деякі програми моніторингу дозволяють відстежувати діяльність користувачів на сервері, включаючи видалення файлів. Вони можуть надати додаткову інформацію про діяльність користувача, таку як адреса IP, час видалення файлу та ім'я користувача.
Отже, якщо вам потрібно дізнатися, хто видалив файл на Windows 2012 Server, існує кілька способів, включаючи перевірку журналів подій та використання інструментів моніторингу. Виберіть найбільш зручний спосіб для вас і використовуйте його, щоб відновити важливі дані і запобігти повторному видаленню файлів.
Логування видалення файлів в Windows 2012 Server
Windows 2012 Server пропонує можливість логізувати дії видалення файлів, що може бути корисним для відстеження та аналізу змін у файловій системі сервера. Для включення логування видалення файлів дотримуйтесь інструкцій нижче:
- Відкрийте " локальна групова політика "через меню"Пуск".
- Перейдіть до" конфігурація Комп'ютера "- > "Налаштування Windows" - > "відстеження" - > "Аудит об'єктів системи".
- Двічі клікніть на опцію "видалення" в списку доступних об'єктів для відстеження.
- Виберіть опцію "успішно", якщо ви хочете ввести лише успішні видалення файлів. Ви також можете вибрати опцію "неуспішно", щоб логувати спроби невдалого видалення файлів.
- Натисніть "OK", щоб зберегти зміни.
Тепер Windows 2012 Server буде логувати дії видалення файлів в журналі подій системи. Щоб переглянути журнал подій, виконайте наступні дії:
- Відкрийте "Панель керування" -> "Адміністративні інструменти" - > "Журнал подій".
- Виберіть "журнали Windows" на лівій панелі.
- Потім виберіть "Security" для перегляду журналу безпеки.
- Прокрутіть список подій, щоб знайти записи про видалені файли. Зверніть увагу на події з ідентифікатором 4663, які вказують на видалення файлу.
- Клацніть правою кнопкою миші на подію, щоб переглянути додаткові відомості та подробиці про дію видалення файлу.
Тепер ви знаєте, як включити і переглядати логування видалення файлів в Windows 2012 Server. Ця функція допоможе вам контролювати та аналізувати доступ та зміни у файловій системі сервера.
Перевірка журналу подій Windows 2012 Server
- Відкрийте "диспетчер подій". Для цього натисніть правою кнопкою миші на кнопці "Пуск" в лівому нижньому кутку екрану. У контекстному меню виберіть "Диспетчер подій".
- У" диспетчері подій "знайдіть папку " журнали Windows". Розгорніть її і виберіть "Безпека".
- У правій панелі "диспетчера подій" виберіть "фільтр поточного журналу".
- У вікні, встановіть фільтр по типу події "4660". Ця подія означає видалення файлу або папки.
- Натисніть кнопку "OK", щоб застосувати фільтр.
- У вікні "Диспетчера подій" відобразяться всі події видалення файлів або папок, що відбулися на сервері.
- Знайдіть подію видалення файлу, який вас цікавить. У цій події буде вказано ім'я користувача, який зробив видалення.
Використовуючи цю інформацію з журналу подій, ви зможете визначити, хто видалив файл на Windows 2012 Server. Зверніть увагу, що журнал подій зберігає інформацію лише з певного періоду, тому, якщо подія сталася давно, можливо, вона вже буде видалена з журналу.
Щоб запобігти видаленню файлів без вашого дозволу, рекомендується налаштувати відповідні політики безпеки та дозволи на сервері. Ви також можете встановити програмне забезпечення для моніторингу дій користувачів, яке буде записувати всі події видалення файлів і давати вам детальну інформацію про них.
Зверніть увагу, що для виконання цих дій потрібні права адміністратора на сервері.
Використання аудиту файлової системи на сервері Windows 2012
Аудит файлової системи дозволяє дізнатися, хто і коли здійснював операції з файлами на Windows 2012 Server. Це корисно, якщо ви хочете контролювати доступ до важливих файлів і знати, хто видалив файл.
Для використання аудиту файлової системи в Windows 2012 Server дотримуйтесь інструкцій нижче:
- Увімкніть аудит. Для цього відкрийте "Панель управління" -> "Система та безпека" -> "Адміністративні інструменти" -> "Локальна політика безпеки". У вікні, що відкриється, виберіть "перевірка безпеки" -> "встановлення параметрів аудиту" - > "Аудит об'єктів файлової системи". Позначте опцію "успішно" або "невдало" для аудиту операцій, які потрібно відстежувати.
- Налаштуйте успадкування аудиту. Якщо ви хочете відстежувати операції з файлами в певній папці, встановіть аудит на цю папку. Для цього відкрийте Властивості папки, перейдіть на вкладку "Безпека" і натисніть на кнопку "Додатково". Потім виберіть вкладку " Аудит "і натисніть на кнопку"Додати". Введіть потрібне ім'я користувача або групу, виберіть потрібний тип аудиту та натисніть на кнопку "ОК".
- Перегляньте журнали аудиту. Після включення аудиту та здійснення операцій з файлами, ви можете переглянути журнали аудиту. Для цього відкрийте Панель керування - > Система та безпека - > Адміністративні інструменти - > Журнал подій. У розділі "журнали використання та служби" виберіть "Журнал безпеки". Тут ви зможете побачити інформацію про здійснені операції та їх виконавців.
Використання аудиту файлової системи в Windows 2012 Server допоможе вам відстежувати операції з файлами та знати, хто видалив файл. Це дасть вам більше контролю над доступом до важливих даних і допоможе забезпечити безпеку ваших файлів.
Пошук видаляються файлів в тіньових копіях в Windows 2012 Server
Для пошуку видаляються файлів в тіньових копіях в Windows 2012 Server дотримуйтесь наступних інструкцій:
- Відкрийте Провідник файлів файлова система.
- Перейдіть до папки, де знаходився віддалений файл.
- Клацніть правою кнопкою миші на папці та виберіть опцію "відновити попередні версії".
- У вікні, виберіть потрібну тіньову копію файлу.
- Натисніть кнопку "Відновити" та виберіть місце, куди потрібно відновити файл.
- Підтвердьте відновлення файлу.
Після виконання цих кроків видаляється файл буде відновлений з тіньової копії на Windows 2012 Server. Зверніть увагу, що для використання функції "тіньові копії тому" необхідно мати відповідні дозволи та права доступу на сервері.
Використання тіньових копій в Windows 2012 Server дозволяє зберегти і відновити видалені файли, спрощує процес відновлення даних і підвищує безпеку інформації.
Додаткові поради для відстеження видалення файлів на Windows 2012 Server
1. Увімкнути аудит файлової системи
Аудит файлової системи дозволяє відстежувати діяльність користувачів з файлами та папками на сервері. Щоб включити аудит, необхідно слідувати наступним крокам:
- Відкрийте " Панель управління "і виберіть"Адміністрування".
- Перейдіть до" Локальна політика безпеки "- > "параметри аудиту" - > "аудит об'єктів".
- Увімкніть опцію "успішне та невдале видалення" для об'єктів файлів і папок.
2. Використання служби аудиту подій
Служба аудиту подій дозволяє переглядати журнали подій на сервері, включаючи інформацію про видалення файлів. Щоб скористатися цією послугою, виконайте наступні дії:
- Виберіть " Пуск "і введіть"служби аудиту подій".
- У вікні, що відкриється, виберіть "журнали Windows" - > "Безпека".
- Використовуйте фільтри журналу подій для пошуку видалених файлів.
3. Використання програмного забезпечення третіх сторін
Існує також програмне забезпечення, яке спеціалізується на відстеженні змін файлів і папок на сервері Windows 2012. Ці програми надають розширені можливості аудиту та повідомлення про всі зміни файлової системи.
Пам'ятайте, що відстеження видалення файлів може вимагати значних ресурсів сервера, тому уважно оцініть необхідність і потенційні навантаження на систему перед включенням аудиту.