Windows, Sıkıştırılmış Klasörler veya Zip Dosyaları oluşturmayı günlüğe kaydeder mi?


1

Başlığın dediği gibi, Windows (10 / Anniversary / Creators Update) Sıkıştırılmış Klasörler veya Sıkıştırılmış Klasörler oluşturulmasını kaydediyor mu? Bu Olay Görüntüleyicisi'nde veya herhangi bir hata ayıklama günlüğünde izleniyor mu?

Bir çalışan bir zip dosyası oluşturmayı denemişti, ancak açıkça bir dosyayı kaçırdı. Dosyanın bulunmamasından dolayı son tarihin eksik olması nedeniyle bu bir sorun haline geldi. Bu bir kullanıcı hatası sorunu olup olmadığını görmek gerekir.

Yanıtlar:


1

Hayır, Olay Görüntüleyicisi bunu göstermeyecek. Olay Görüntüleyicisi, kullanıcı eylemlerini değil, bilgisayarınızdaki program, güvenlik ve sistem olaylarıyla ilgili günlükleri tutar. Görmek https://technet.microsoft.com/en-us/library/cc938674.aspx daha fazla bilgi için.

Bildiğim kadarıyla, hangi dosyaların sıkıştırılmış bir klasöre eklendiğini görmenize izin verecek (yerel) bir Windows özelliği yoktur. Windows güvenlik denetimi var, ancak bu düzeyde kullanıcı etkinliği ayrıntı düzeyi sağladığını sanmıyorum. Görmek https://technet.microsoft.com/en-us/library/dn319078(v=ws.11).aspx :

Güvenlik denetimi, güvenliğinin korunmasına yardımcı olan güçlü bir araçtır   bir işletme. Denetim çeşitli amaçlar için kullanılabilir,   adli analiz, yasal uyumluluk, kullanıcıyı izleme dahil   etkinlik ve sorun giderme. Çeşitli endüstri düzenlemeleri   ülkeler veya bölgeler işletmelerin katı bir dizi   veri güvenliği ve gizliliği ile ilgili kurallar. Güvenlik denetimleri yardımcı olabilir   bu tür politikaları uygulamak ve bu politikaların doğru olduğunu kanıtlamak   uygulamıştır. Ayrıca, adli tıp için güvenlik denetimi de kullanılabilir.   analiz, yöneticilerin anormal davranışları tespit etmesine yardımcı olmak   Güvenlik politikalarındaki boşlukları tespit etmek ve azaltmak ve   kritik kullanıcı faaliyetlerini izleyerek sorumsuz davranış.

Yalnızca size önerim olan şu: Gölge Kopya'yı etkinleştirdiyseniz, çalışan zip dosyasını oluştururken söz konusu dosyayı içerip içermediğini görmek için sıkıştırılmış klasörün anlık görüntüsüne bakmayı deneyebilirsiniz.


0

Wysiwyg'ın cevabının dediği gibi, bu dizin için denetim olmadıkça, oluşturulan ZIP dosyaları hakkında bilgi içeren bir olay günlüğü yoktur; bu durumda, ZIP oluşturulmadan önce hangi dosyaların teorik olarak okunduğuna bakabilirsiniz. Bunu kullanarak bir ZIP dosyası oluşturarak test ettim Gönder | Sıkıştırılmış sıkıştırılmış klasör ve olayla ilgili hiçbir şey olmayan ana olay kayıt defterlerine danışma. Altında başka birçok küçük günlük var. Uygulamalar ve Hizmet Günlükleri ama onlar da yardımcı değil. Bunu kanıtlamak için PowerShell'i kullanabiliriz!

Get-WinEvent -ListLog * | ? { $_.RecordCount -gt 0 } | % { Get-WinEvent -LogName $_.LogName -MaxEvents 100 } | ? { $_.ToXml().Contains('.zip') }

Yönetici olarak çalıştırılırsa, bu boş olmayan her olay günlüğüne bakar, son yüz olayları alır ve söz konusu olanları içerenleri döndürür. .zip dosya. Bu benim için sıfır sonuç verdi.

Ayrıca olay sırasında güncellenen diskteki herhangi bir günlük dosyasını bulamadım. Dosya sistemi faaliyetlerini izleyerek bunu kontrol ettim. explorer.exe kullanma İşlem İzleyicisi . El ile bakmaya çok fazla sayıda olay meydana geldi, bu yüzden günlüğü CSV olarak dışa aktardım. Erişilen benzersiz yolların bir listesini almak için (olayların büyük çoğunluğunun yalnızca birkaç yolla yapması gerektiğinden), PowerShell'i tekrar kullanabiliriz:

Import-Csv C:\path\to\report.csv | group Path | select -ExpandProperty Name

Listeye bakmak ilginç bir şey ortaya çıkarmaz, yalnızca sıkıştırmaya katılan veya arka plan işlemleriyle dokunulan dosyalar ortaya çıkar.

ZIP dosyası hala diskte mevcutsa, iddia edildiğinde oluşturulduğunu kanıtlayabiliyoruz. yaratma zamanları yanlışlanabilir ). Bu bilgiler, kullanarak sorgulayabileceğimiz Windows arama dizininde tutulur - tahmin ettiniz - PowerShell!

$sql = "select System.ItemName, System.DateCreated from SYSTEMINDEX where System.ItemName like '%.zip'"
$connector = [System.Data.OleDb.OleDbDataAdapter]::new($sql, "provider=search.collatordso;extended properties='application=windows';")
$data = [System.Data.DataSet]::new()
$connector.Fill($data)
$data.Tables[0]

(Koduna göre Bu makale Russell Smith tarafından.) Dizindeki her ZIP için yol ve oluşturma zamanını (UTC'de, sistem zaman diliminde değil) üretir. Ne yazık ki, ZIP arşivine neyin dahil olduğunu söylemedi, ama elimizden gelenin en iyisi bu.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.