AUDITORIA EM ARQUIVOS/PASTAS – WINDOWS SERVER 2012

1. HABILITANDO AUDITORIA NA PASTA

• Clicar com botão direito na pasta ou partição que deseja fazer auditoria e depois “Propriedades”, aba “Segurança” e depois botão “Avançadas”.

• Vá para a aba auditoria e depois no botão “add”:

• Como na imagem abaixo clique no botão “selecionar…” ou “select…” dependendo da linguagem, em seguida selecione o usuário ou grupo que deseja que seja auditado na pasta ou partição.

• Clique em mostrar mais permissões e no meu caso, selecionei apenas as de deletar, para auditar apenas essa ação. Também selecione em “Type” apenas quando a ação for sucesso.

2. HABILITANDO POLITICA DE AUDITORIA

Execute gpedit.msc e seguindo o caminho abaixo, habilite a política de auditoria.

3. VISUALIZANDO LOGS

Executando o comando eventvwr e navegue até Logs do Windows > Segurança.  Agora vem a parte chata, localizar o registro e boa sorte com isso pois é bem ruim mesmo o log do WIndows(pelo menos é a minha opinião). Tente criar um filtro em  Criar Modo de Exibição Personalizado, localizado ao lado direito da janela, usando ID 4663 ou 4656, foi assim que localizei o meu teste abaixo.


Obs.:  recomendado também aumentar também a capacidade do log, ainda no eventvw em Logs do Windows > Segurança, clique com o botão direito em Segurança e clique em Propriedades, altere como desejar.

FONTES:

https://www.profissionaisti.com.br/2014/11/auditoria-de-exclusao-de-arquivos-windows-file-server/
https://www.mswiki.com.br/windows-server-2012-criando-auditoria-de-acesso-a-objetos/