Тема: Аудит файлового сервера.
В интернете много информации как настроить журналы как локально так и через GPO.
Наткнулся на интересную статью со скриптом.
#import-module activedirectory
#$path = $args[0]; # \\fileserver\share\folder
$account = "Everyone" # $args[1];
$flavor = "Success,Failure" #$args[2];
$flags = "
ReadData,
WriteData,
AppendData,
WriteExtendedAttributes,
DeleteSubdirectoriesAndFiles,
WriteAttributes,
Delete,
ChangePermissions,
TakeOwnership
"
$inheritance = "ContainerInherit, ObjectInherit"
$propagation = "None"
$comps = Get-ADComputer -Filter * -SearchBase "OU=your_ou_name,DC=your_domain,DC=your_domain" | select -exp DNSHostName
foreach ($comp in $comps)
{
$shares = get-wmiobject -class win32_share -computername $comp -filter "type=0 AND name like '%[^$]'" | select -exp name
foreach ($share in $shares)
{
$path = "\\"+$comp+"\"+$share
$path
$acl = (Get-Item $path).GetAccessControl("Access,Audit")
$ace = new-object System.Security.AccessControl.FileSystemAuditRule($account, $flags, $inheritance, $propagation, $flavor)
$acl.AddAuditRule($ace)
set-acl -path $path -AclObject $acl
}
}
Вот еще в журнале ищет записи по названию файла и выгружает их в файл.
Get-EventLog -LogName Security | where {$_.message -like '*Имя нужного файла*' } | Format-list -Property message | Out-File C:\out.txt
Все это взял от сюда https://habr.com/ru/company/netwrix/blog/208892/
Интересно и подробно написано, скопировал себе на форум что бы потом долго не искать.