创建空文件时,Windows事件日志未为4663事件ID生成AddFile事件

时间:2019-03-30 15:32:30

标签: windows events windows-security file-monitoring

我正在开发一个应用程序,该应用程序将解析事件ID 4663的Windows事件日志,以收集由受监视的文件夹创建,修改,删除文件的信息。

我已从本地组策略启用“高级审核策略配置”的“审核文件系统”选项。要审核文件夹,我已从受监视的文件夹的安全性->高级->审核中分配了对“每个人”主体的完全访问权限。

当我在受监视的文件夹中创建一个空文件时,没有收到ID为4663且访问类型为'WriteData(or AddFile)'的任何事件,访问掩码为'0x02'。但是,当我将非空文件复制到此受监视的文件夹时,我得到的事件ID 4663具有上面的访问类型和访问掩码。

我已经在笔记本电脑(Windows 8.1家庭版64位)中手动进行了检查。但是,当我在桌面(Win 10 Professional 64位)中对其进行检查时,尽管在受监视的文件夹中创建了一个空文件,事件4663仍具有上述访问类型(WriteData(或AddFile))和访问掩码(0x02)。 / p>

我正在寻求对此怪异行为的解释。

0 个答案:

没有答案