标签: windows
我正在使用ossec应用程序转发Windows事件。我想知道有什么方法可以确定是否使用Windows事件日志重命名了文件。
我看到事件ID为 4663 ,因为删除任何文件时都会创建访问掩码为“ 0x10000” 。重命名文件时发生相同的日志。因此,我可以使用Windows事件日志来区分这两件事。 我特别想知道是否使用Windows事件ID日志重命名了任何文件。