http://eyeart.blog.51cto.com/816576/235561
特別聲明:網上已經有一些於此相似的教程,並且本人在撰寫本文時也都進行了參考,尤其是在51cto上,在此表示感謝!撰寫本文的目的,主要是爲了自己積累知識,並將自己看到的一些覺得不夠詳細的地方儘量說的明白一些。
撰寫本文源於這樣一件事情:本校建有校園局域網,在一臺域控制器上設置了共享文件夾,文件夾下面建有每個教師的子文件夾,老師可以將自己的文件放置在裏面,方便共享。管理員設置的默認的權限是所有的教師賬號無權刪除所建立的教師子文件夾,但是如果進入到子文件夾裏面,可以刪除裏面的文件和文件夾。因爲使用域的管理方式,爲所有的教師建立了域賬號,該賬號用於訪問共享文件夾。也有一些用戶提出了特殊的要求,希望只有自己能刪除自己文件夾裏的文件或者文件夾,其它用戶則沒有這樣的權利,只對幾個用戶作了這樣的設置,大多數教師保持默認設置。
前兩個星期,學校叫所有教師寫個感想,然後放到制定的文件夾中,由於那個用戶的文件夾保持了默認權限,結果存放感想文件的文件夾結果被誰刪除了。由於從共享文件夾刪除文件是不走本地回收站的,所以文件夾也就沒有了。發生這樣的事情之後,領導就問有沒有辦法知道是誰刪除的。但由於服務器當時並沒有作這樣的設置,因此無法查出結果。先前也知道Windows操作系統也提供了相關的功能,經過一番設置能實現一定的效果,但是顯示的事件日誌不是很友好,在網上查找了一下很多人也覺得系統自身的功能不太讓人滿意。
於是決定上網搜索一下看有沒有更好地軟件可以實現更強大的功能,嘿嘿,還真找到一個。今天要介紹的主角就是“File System Auditor”,功能很好很強大。下面就爲大家介紹一下File System Auditor詳細的部署和應用過程。OK,教程開始!
先說明一下安裝環境:
①需要.NET環境支持。
②最好有域環境,併爲每個用戶建立一個域賬號。
1、安裝File System Auditor需要以下文件,其中第一個文件是我在官方網站上下載的,我下載的時候最新版本是2.0.8的,第二個是我在網上找到的,還算比較好找,迅雷就能下載到,最後一個文件是破解程序。
2、先安裝第二個文件。
3、根據嚮導操作,均按默認操作,最後點擊“Finish”結束安裝。
4、運行第三個破解軟件。
5、輸入相關注冊信息。
6、注意看下圖“Status”的地方,顯示破解成功。
下面是轉載者個人的觀點:
如果上圖中license 沒有generate成功的話,其他的就白費了。後面的所有步驟都進行不下去,不論你是在win2003還是windows 2008 server R2甚至是windows 2012 server2上繼續往下安裝都是白費勁,
在經過好多次的失敗後,幾乎絕望了,但是,偶爾我看到了希望,這個希望就在於一這段代碼:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\692D0D60BF186204D9DBA1ED84CC8693]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\692D0D60BF186204D9DBA1ED84CC8693\InstallProperties]
"InstallLocation"="C:\\"
"DisplayName"="File System Auditor - Console Setup"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\692D0D60BF186204D9DBA1ED84CC8693]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\692D0D60BF186204D9DBA1ED84CC8693\InstallProperties]
"InstallLocation"="C:\\"
"DisplayName"="File System Auditor - Console Setup"
7、然後進入控制面板,打開添加刪除程序窗口,找到“File System Auditor - Console Setup”項目,將其刪除掉。
8、開始刪除,點擊“是”按鈕。
9、雙擊第一個文件,開始安裝。
10、單擊“Next”。
11、 安裝正在進行。
12、安裝完成。
13、在開始菜單中找到“File System Auditor 2”文件夾下面的“Agent Configuration Console",單擊打開。
14、啓動程序時顯示剛纔破解時的授權信息。單擊“OK“按鈕。
15、程序啓動後,單擊紅線圈出的位置,啓動數據庫嚮導。
16、顯示數據庫嚮導歡迎界面。
17、默認選擇第一項,創建新的數據庫,然後單擊“Next"按鈕。
18、在出現的新窗口中,在SQL Server Instance填寫SQL數據庫實例的名稱,如果不知道也可以通過單擊後面的按鈕進行選擇,比如,我選擇的是VMWARE01的數據庫實例。下面的Database Name是數據庫的名稱,取默認值即可,一般不用修改。下面的兩個單選框是sql數據庫的認證方式,上面的是使用Windows認證,下面的是使用sql認證方式。這個主要根據你安裝sql數據庫所採用的認證方式進行選擇。
19、上面的圖選項設置好後單擊next按鈕,出現下圖:兩個50是數據庫文件和日誌文件的初始大小。右邊的是關於安全組的形式。創建默認的安全組有三個選項:①Local Group(Non DC)本地組,適用於沒有域的環境;②Global 適用於域環境,並有多臺服務器的情況下,提供全局的安全組;③Domain Local 本地域,適用於本地域環境。在這裏我選擇了第二項Global。
備註:其實對於後兩項,我的理解也還不是很透徹,以上只是我個人的一些理解。
20、下圖畫紅線的地方,可以勾選,手工指定數據庫文件和日誌文件的路徑。
21、設置好後,單擊next按鈕,開始創建數據庫。
22、創建數據庫成功。
23、創建數據庫成功後,關閉創建數據庫嚮導窗口。單擊下圖紅線位置其中之一,添加文件服務器。
24、在彈出的窗口中填寫服務器的名稱或者單擊紅線位置。
25、彈出選擇計算機的窗口,找到需要監控的計算機。
26、這裏選擇了一臺計算機。
27、單擊OK按鈕後彈出下面的窗口,選擇是按鈕。
28、又彈出一個窗口,繼續單擊是按鈕。
備註:對於上面兩個窗口的具體意思我還不是十分清楚,好像就是將一些默認的進程包含進剛創建的要監控的服務器當中。
29、這是剛纔上面兩個彈出窗口選擇是之後的結果。
30、文件夾服務器添加好之後還不可以使用,通過狀態可以發現,服務都還沒有安裝。還要做一些設置纔可以使用。
31、在窗口右側添加好的服務器上單擊右鍵,選擇install agent項目。
32、 彈出如下窗口,選擇sql實例名稱,然後選擇前面建好的數據庫,設置認證方式,這裏我採用了sql認證方式,填寫用戶名sa,並填寫密碼。單擊OK按鈕。
33、這裏顯示提示信息,如果確認沒有問題,單擊是按鈕。
34、稍等片刻之後,引擎安裝成功
35、這時再看狀態,和剛纔不一樣了,說明服務已經安裝成功。
36、 切換到path filters選項卡,單擊添加按鈕,添加要監控的文件夾。
37、添加好文件夾後,還可以添加要監視的文件類型,或者排除的文件類型。對於要監控的事件可以取默認設置。默認是監控文件與文件夾的所有操作。
38、這裏我添加了三種文件類型,除了這三種之外,不監控其它文件夾類型。
39、單擊OK按鈕後,顯示如下。
40、在開始菜單中找到紅線選項,打開程序。
41、程序啓動後,顯示如下窗口。
42、然後到被監控的文件夾下新建幾個文件,並改名試試。也可以刪除。文件類型可以多選幾個。我們看到擴展名爲txt的操作被記錄下來,包括創建、改名、刪除、移動等操作。而其它的文件類型,比如zip、bmp等類型並沒有記錄。
43、在開始菜單中找到Report Configuration Console程序,啓動該程序,選擇如下圖所示部分,創建一個新的報表。
44、 根據下圖所示進行設置。和前面的有些操作類似。
45、我選的是sql認證方式,需要輸入用戶名和密碼。
46、報表建好之後,默認顯示最近1小時的所有操作,因爲我最近1小時沒有操作,所以沒有記錄。
47、我們將時間調整一下,顯示最近2小時的操作,這時出現了記錄。
48、我們還可以對事件進行篩選,比如只選擇刪除事件,這樣只顯示誰刪除了文件。
49、我們看到如下記錄,只顯示刪除的文件。
50、還可以將結果導出爲文件。
通過上面的一番設置,被監控的文件夾就一切盡在掌握之中,所有用戶的操作一目瞭然。只要告訴用戶,今後他們操作就會小心了,不會也不敢再亂刪除別人的文件了。