Logging

安全事件日誌中的 READ_CONTROL 是什麼意思?

  • April 14, 2015

我被要求創建文件訪問的審計記錄。通過日誌簡直是壓倒性的。點兩下記事本中打開的文本文件會創建 10 多個日誌條目,事件 ID 為 4663。我多次看到 READ_CONTROL 訪問。這是什麼以及哪個訪問權限產生了這個?

我想減少數據收集並僅記錄那些反映文件實際打開以讀取或寫入的數據。

這是在 Windows Server 2008 上。

更簡單的方法是過濾事件 ID 4656(打開文件)和 4658(關閉文件)以及 4663;通過這種方式,您可以查看誰打開/關閉了文件以及在實際使用訪問權限時與這些事件一起記錄的相應 READ_CONTROL。

這是一個很好的參考: https ://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4663

如果這對您不起作用,或者我沒有解決您的問題,請告訴我,我可以更具體一些。

引用自:https://serverfault.com/questions/682639