关于 Windows 中共享文件夹相关事件 ID 的表格,展示了不同事件的描述、类别、日志源以及常见的应用场景:
事件 ID
事件描述
类别
日志源
应用场景
5140
共享文件夹访问尝试
文件系统
Microsoft-Windows-Security-Auditing
用户或计算机尝试访问共享文件夹,记录访问尝试信息。
5142
共享文件夹删除
文件系统
Microsoft-Windows-Security-Auditing
共享文件夹被删除时记录的事件,帮助跟踪共享文件夹的删除过程。
5143
共享文件夹创建或修改
文件系统
Microsoft-Windows-Security-Auditing
创建或修改共享文件夹时记录该事件。
4663
文件/文件夹访问
对象访问
Microsoft-Windows-Security-Auditing
记录文件或文件夹的访问,包括读取、写入、删除等操作。
4656
文件/对象访问请求
对象访问
Microsoft-Windows-Security-Auditing
用户尝试访问文件或文件夹时创建的请求事件。
4660
文件/对象删除
对象访问
Microsoft-Windows-Security-Auditing
文件或文件夹被删除时记录的事件。
5145
共享访问已被拒绝
文件系统
Microsoft-Windows-Security-Auditing
由于权限不足或其他原因,访问共享文件夹的尝试被拒绝时记录该事件。
32000
SMB 共享活动
网络
Microsoft-Windows-SMBServer
SMB 协议相关的活动,包括客户端连接或断开连接等。
1016
网络共享日志
系统
Microsoft-Windows-SMBServer
网络共享配置的变化,如共享创建、删除或修改。
说明:
事件 ID:标识每个事件的唯一编号。
事件描述:简要说明该事件的作用或含义。
类别:该事件归属于哪种类型的日志(如文件系统、对象访问、网络等)。
日志源:事件来源的具体组件或服务。
应用场景:事件记录的实际应用情况,帮助管理员监控文件夹共享、文件访问等活动。
这个表格为管理员提供了对共享文件夹相关事件的全面视图,有助于在 Windows 环境中进行文件共享监控和审计。
在 Windows 系统中,关于共享打印机的事件记录通常与打印服务和共享管理相关。以下是与共享打印机相关的一些常见事件 ID,它们帮助管理员监控和审计打印活动:
事件 ID
事件描述
类别
日志源
应用场景
307
打印机共享已启用或禁用
打印机管理
Microsoft-Windows-PrintService
打印机共享被启用或禁用时记录该事件,帮助管理员跟踪打印机共享状态的变化。
312
打印作业已开始
打印机管理
Microsoft-Windows-PrintService
打印作业开始时记录的事件,包括打印任务的创建和启动。
313
打印作业已完成
打印机管理
Microsoft-Windows-PrintService
打印作业完成时记录的事件,包含打印任务的结束信息。
314
打印作业被取消
打印机管理
Microsoft-Windows-PrintService
打印作业被取消时记录的事件,帮助管理员追踪打印任务的取消原因。
319
打印机状态发生变化
打印机管理
Microsoft-Windows-PrintService
打印机状态改变时记录的事件,如打印机脱机、连接丢失等。
319
打印机共享权限更改
打印机管理
Microsoft-Windows-PrintService
打印机共享的权限被更改时记录的事件。
300
打印机共享活动日志
系统/打印机
Microsoft-Windows-PrintService
打印机共享的配置更改和活动记录。
542
打印作业权限错误
安全审计
Microsoft-Windows-Security-Auditing
用户尝试打印但由于权限不足而失败时记录的事件。
616
打印作业排队等待
打印机管理
Microsoft-Windows-PrintService
打印作业被提交并处于排队状态时记录的事件。
616
打印作业失败
打印机管理
Microsoft-Windows-PrintService
打印作业因为错误而未能成功打印时的记录。
8193
打印机连接错误
系统/打印机
Microsoft-Windows-PrintService
打印机在连接时发生错误,可能是网络或驱动问题,记录该事件。
说明:
事件 ID:标识每个事件的唯一编号。
事件描述:简要说明该事件的作用或含义。
类别:该事件归属于的类别,通常为“打印机管理”或“安全审计”。
日志源:事件来源的具体组件或服务。
应用场景:事件记录的实际应用情况,帮助管理员监控打印作业、打印机共享状态和权限。
这些事件帮助管理员追踪打印作业的进度、权限问题、打印机共享的更改等,有助于进行打印服务的管理与故障排除。
在 Windows 操作系统中,文件共享相关的事件通常涉及到 Windows 事件日志,特别是在 安全性、系统、应用程序 和 文件服务 相关的日志。以下是一些与共享文件夹和文件访问相关的关键 事件 ID,它们可以帮助管理员监控和排查文件共享相关的问题。
1. 事件 ID 5140 — 共享文件夹访问尝试
事件描述:表示某个用户或计算机尝试访问一个共享文件夹。
类别:文件系统
日志源:Microsoft-Windows-Security-Auditing
应用场景:当用户尝试访问文件共享时,Windows 会记录该访问尝试。这对于审计和监控文件访问非常有用。
示例事件内容:
Copy Code
共享文件夹访问:访问已请求的共享文件夹 <共享名称>。
访问的资源路径为:\\<服务器名>\<共享名>。
请求的访问类型:读/写。
客户端 IP 地址:
2. 事件 ID 5142 — 共享文件夹删除
事件描述:表示共享文件夹的删除操作。
类别:文件系统
日志源:Microsoft-Windows-Security-Auditing
应用场景:当共享文件夹被删除时,系统会记录此事件,帮助跟踪共享文件夹的创建和删除过程。
示例事件内容:
Copy Code
文件夹 <共享名称> 被删除。
删除操作的用户:<用户名>。
删除操作的客户端 IP 地址:
3. 事件 ID 5143 — 共享文件夹创建或修改
事件描述:表示共享文件夹被创建或修改。
类别:文件系统
日志源:Microsoft-Windows-Security-Auditing
应用场景:在共享文件夹被创建或修改(例如更改共享权限或共享名称)时,这个事件将被记录下来。
示例事件内容:
Copy Code
共享文件夹 <共享名称> 已创建或修改。
操作的用户:<用户名>。
4. 事件 ID 4663 — 文件/文件夹访问
事件描述:表示文件或文件夹被访问或修改。包括文件的读取、写入、删除等操作。
类别:对象访问
日志源:Microsoft-Windows-Security-Auditing
应用场景:文件或文件夹上的权限更改、删除或修改时,记录该事件,帮助管理员监控文件访问。
示例事件内容:
Copy Code
文件/文件夹访问:<文件路径> 被访问。
访问的操作类型:读取/写入。
访问的用户:<用户名>。
客户端 IP 地址:
5. 事件 ID 4656 — 文件/对象访问请求
事件描述:表示某个对象(例如文件或文件夹)上的访问请求已被创建。
类别:对象访问
日志源:Microsoft-Windows-Security-Auditing
应用场景:当一个用户尝试访问文件或文件夹时(无论是否成功),系统会记录该请求。
示例事件内容:
Copy Code
文件/对象访问请求:<文件路径> 被请求。
请求的操作类型:读取/写入。
请求的用户:<用户名>。
请求的客户端 IP 地址:
6. 事件 ID 4660 — 对象删除
事件描述:表示文件、文件夹或其他对象被删除。
类别:对象访问
日志源:Microsoft-Windows-Security-Auditing
应用场景:当文件或文件夹被删除时,此事件会被记录。用于监控文件的删除操作。
示例事件内容:
Copy Code
文件/文件夹删除:<文件路径> 被删除。
删除的用户:<用户名>。
删除的客户端 IP 地址:
7. 事件 ID 5145 — 共享访问已被拒绝
事件描述:表示访问共享文件夹的尝试被拒绝,通常是由于权限不足。
类别:文件系统
日志源:Microsoft-Windows-Security-Auditing
应用场景:当某个用户或客户端尝试访问共享文件夹,但由于权限不足或其他原因访问被拒绝时,系统会记录此事件。
示例事件内容:
Copy Code
共享文件夹访问被拒绝:尝试访问共享文件夹 <共享名称> 被拒绝。
拒绝的原因:权限不足。
请求的客户端 IP 地址:
8. 事件 ID 32000 — SMB (Server Message Block) 共享活动
事件描述:表示 SMB 文件共享相关的活动,包括客户端连接、断开连接等。
类别:网络
日志源:Microsoft-Windows-SMBServer
应用场景:SMB 协议是用于 Windows 文件共享的主要协议,这个事件帮助监控 SMB 共享相关的活动。
示例事件内容:
Copy Code
SMB 会话活动:<客户端名称> 成功连接到共享 <共享名称>。
客户端 IP 地址:
9. 事件 ID 1016 — 网络共享日志
事件描述:表示网络共享的建立、修改或删除。
类别:系统
日志源:Microsoft-Windows-SMBServer
应用场景:用于审计网络共享配置的变化,比如建立、删除或修改共享设置。
示例事件内容:
Copy Code
网络共享创建:共享名称 <共享名称> 被创建。
网络共享删除:共享名称 <共享名称> 被删除。
查看这些事件的方法:
打开 事件查看器:按 Win + R,输入 eventvwr.msc,并回车。
导航到 Windows 日志 > 安全、系统 或 应用程序,查找和筛选相关的事件 ID。
也可以使用 筛选器 来只显示特定事件 ID,或者使用 事件查看器的“自定义视图” 来创建自定义视图,专门监控文件共享和网络共享的事件。
通过这些事件 ID,管理员可以更好地了解文件共享的使用情况,帮助监控和管理网络资源的访问权限。
共享文件访问日志记录方法
要记录谁访问了您的共享文件,您可以使用系统自带的审计功能或第三方软件。下面是具体的方法:
1. 开启系统自带的审计功能
右击文件夹:
找到您想要审计的共享文件夹,右击选择“属性”。
访问安全设置:
选择“安全”选项卡,然后点击“高级”。
审计设置:
在“高级安全设置”窗口中,选择“审计”标签页,点击“添加”按钮。
选择对象:
点击“选择主体”,然后选择您要记录的对象(如特定用户、组或Everyone),点击“确定”。
配置事件:
在“基本权限”中,勾选您想要记录的事件(如“成功”和/或“失败”)后,点击“确定”。
设置继承:
确保选中“包括/替换继承子项”,然后连续点击“确定”以完成设置。
查看日志:
打开“事件查看器” (eventvwr.msc),导航到“Windows 日志” > “安全”,您可以在这里找到相关的访问日志。
在Windows系统中,关于共享文件夹的详细访问日志事件ID主要包括以下内容:
共享文件夹相关的事件ID
5140 - 网络共享对象访问:记录对共享文件夹的访问请求。
5145 - 共享对象访问:记录对共享文件夹中对象(如文件)的访问尝试,包括成功和失败的事件。
4663 - 对对象的访问:记录对文件或文件夹等对象的具体访问情况,包含访问的类型(如读取、写入、删除等)。
4656 - 句柄已获得:记录对特定对象(例如文件或文件夹)句柄的请求。
4660 - 对象已删除:记录文件或文件夹被删除的事件。
4661 - 对象被修改:记录对对象的修改事件。
查看和筛选事件
您可以通过“事件查看器”来查看这些事件ID:
打开“事件查看器” (eventvwr.msc)。
导航到“Windows 日志” > “安全”。
使用“筛选当前日志”功能,输入需要的事件ID进行筛选。
这些事件ID能够帮助您更全面地监控共享文件夹的访问和操作情况。
在Windows系统中,访问日志的ID编码主要是通过事件查看器中的安全日志显示的。以下是一些常见的访问日志事件ID:
常见的访问日志事件ID
4624 - 成功登录事件:记录成功登录到系统的用户信息。
4625 - 登录失败事件:记录尝试登录但失败的用户信息。
4663 - 对对象的访问:记录对文件或文件夹等对象的访问尝试,包括成功和失败的事件。
5140 - 共享访问:记录对共享文件夹的访问请求。
5145 - 共享对象访问:记录对共享文件夹中对象的访问。
如何查看这些事件ID
打开“事件查看器” (eventvwr.msc)。
导航到“Windows 日志” > “安全”。
使用“筛选当前日志”功能,可以根据事件ID筛选所需的日志。
通过这些事件ID,您可以有效地监控和管理对共享文件的访问情况。
2. 使用第三方软件 ShareMonitor
ShareMonitor 1.0 - Download, Review, Screenshots (softpedia.com)
下载和安装:
前往 ShareMonitor 的官方网站或可信的软件下载平台,下载并解压缩该软件。 下载
运行软件:
运行 ShareMonitor,软件界面简单明了,无需复杂设置。
监控访问:
该软件会自动记录对共享文件的访问情况,包括访问者的信息。
查看日志:
您可以在软件界面中直接查看所有访问记录,便于管理和分析。
这两种方法各有优缺点:
系统审计功能:集成在操作系统中,不需要额外软件,但配置较为复杂。
ShareMonitor:简单易用,信息直观,适合快速部署。
根据您的需求选择合适的方法进行文件访问日志的记录。