Как отследить изменение файла

Обновлено: 01.07.2024

Отслеживание изменений, внесенных в ваши папки, является важной частью обеспечения безопасной среды данных на вашем ПК с Windows. К счастью, в Windows есть встроенная функция, которая позволяет пользователям отслеживать представления и изменения в определенной папке. Если у вас есть папка, содержащая ваши конфиденциальные данные, вам может потребоваться знать, кто получает доступ или выполняет другие действия в папке. В этом руководстве мы научим вас отслеживать действия пользователей и изменения папок в Windows 10.

Отслеживание изменений в папках с помощью групповой политики Windows

Групповая политика — это функция безопасности Windows, которая в основном используется ИТ-администраторами для управления компьютерами в сети, но также может использоваться на вашем локальном компьютере. Однако в Windows 10 эта функция доступна только в выпусках Pro и Enterprise.

Доступ к редактору групповой политики

  • В Windows 10 нажмите клавиши Win + R, чтобы открыть «Выполнить», введите «GPedit.msc» и нажмите «ОК».
  • Или найдите «Изменить групповую политику» в поле поиска Windows и выберите соответствующий результат.

Открыть GPeditor

  • Существует два основных типа групповых политик: политики для компьютеров и пользователей.
  • В этом случае мы выберем политику «Конфигурация компьютера» для аудита изменений всех пользователей компьютеров.

Настроить политику аудита

  • Разверните политики конфигурации компьютера, затем перейдите в «Параметры Windows», выберите «Параметры безопасности», «Локальные политики», а затем разверните папку «Политика аудита».

Локальные политики безопасности

  • На правой боковой панели вы найдете ряд политик со статусом их конфигурации.
  • Дважды щелкните шаблон "Аудит доступа к объектам", чтобы настроить свойства.

Редактировать доступ к объекту

  • Если вы хотите отслеживать как успешные, так и неудачные изменения в папке, установите флажки «Успех» и «Ошибка».

Параметры аудита

  • Нажмите «Применить», а затем «ОК», чтобы сохранить изменения и закрыть редактор GP.

Настройка параметров аудита папок

  • Перейдите к определенной папке, которую вы хотите отслеживать, в проводнике. папку и откройте ее «Свойства».

Свойства папки

  • Перейдите на вкладку "Безопасность" и нажмите кнопку "Дополнительно" чуть ниже разрешений пользователей.

Вкладка

  • В появившемся окне перейдите на вкладку "Аудит" и нажмите кнопку "Добавить", чтобы добавить группу пользователей.

Настройки аудита

  • Выберите пользователей с именем ПК, как показано на изображении, и нажмите «ОК».

Выбрать пользователей

  • Это приведет вас к «Записи аудита для [имя папки]», чтобы выбрать, что именно вы хотите отслеживать.

Audit Entry

  • Вы можете отслеживать успех или неудачу в разделе «Тип», выбрать папку, подпапку и файлы для отслеживания изменений всего содержимого папки.
  • Нажмите, чтобы отметить действия, которые вы хотите отслеживать, такие как запись, чтение, выполнение и т. д.
  • Выбрав параметры, нажмите "ОК".
  • Нажмите "ОК" в другом мастере свойств папки, чтобы закрыть его.

Отслеживание событий с помощью средства просмотра событий

  • Чтобы отслеживать изменения в папке, необходимо открыть средство просмотра событий. В поле поиска Windows введите «Просмотр событий» и откройте инструмент из результатов.
  • Перейдите в «Журналы Windows», а затем в «Безопасность». На средней панели откроется список недавних действий.

Журналы безопасности

  • Если вы вносите изменения в отслеживаемую папку; доступ, создание/удаление файла или любое другое действие, вы найдете ряд записей в категории «Системный файл».
  • Чтобы просмотреть дополнительные сведения о мероприятии, дважды щелкните его и перейдите на вкладку "Подробности".

Сведения о событии

  • Чтобы проверить тысячи событий системных файлов, вы можете применить фильтр и просмотреть только самые важные события.
  • Для этого нажмите «Нажмите «Текущий журнал…», выберите уровень события, введите идентификатор события, а затем нажмите «ОК» для фильтрации. Вы также можете использовать сортировку по идентификатору события.

Отслеживание изменений папок с помощью третьей стороны

Кроме того, вы можете использовать стороннее программное обеспечение для отслеживания изменений в папке. Некоторые из них включают:

  • Folder Monitor — бесплатное стороннее программное обеспечение, помогающее отслеживать действия с папками в Windows. Он отслеживает несколько событий, включая действия по удалению и созданию, а также уведомляет пользователей о таких изменениях. Инструмент имеет простой пользовательский интерфейс и прост в использовании; вам просто нужно щелкнуть правой кнопкой мыши значок, чтобы добавить папки, которые вы хотите отслеживать.
  • FolderChangesView — еще один легкий инструмент для мониторинга действий с папками в Windows. Вам нужно только ввести путь к папке/подпапке, и программа будет отслеживать создание, удаление или изменение папки.
  • TheFolderSpy – программа для Windows, которая отслеживает изменения в папках определенного типа и уведомляет пользователей об изменениях вложенных папок.
  • Watch for Folder — программа, которая позволяет пользователям выбирать папку или подпапку и отправляет уведомления о любых изменениях, таких как переименование, удаление и просмотр среди прочего. Он также может отправлять уведомления о подключенных или отключенных внешних устройствах.

Заключение

Если на вашем компьютере есть конфиденциальная папка или файл, вам нужно следить за тем, какие изменения вносятся в папку, кто их вносил и в какое время. К счастью, вы можете выполнить описанные выше шаги, чтобы отслеживать изменения в папках, не устанавливая никаких программ, или использовать сторонние программы для отслеживания действий в папках.


< /p>

Дэнни Мерфи

Упреждающий и тщательный аудит файловых серверов является важной частью обеспечения безопасности ИТ-среды. Организации должны быть уверены, что они могут отслеживать, кто вносит изменения в их важные файлы и папки и что это за изменения.

К счастью, ОС Microsoft Windows Server имеет некоторые встроенные функции аудита файлового сервера, которые могут помочь вам получить представление о вносимых изменениях.

Этапы отслеживания изменений, внесенных в файлы и папки, с помощью собственного аудита

Ниже приведено подробное описание процедуры отслеживания действий с файлами и папками:

  1. Откройте окно "Выполнить", введите "gpmc.msc" и нажмите "ОК".
    1. Нажмите правой кнопкой мыши политику домена и выберите "Изменить".
      1. Дважды нажмите «Аудит доступа к объектам».
        1. Установите флажки Успех, Неудача или оба варианта.
        • Аудит только успешных попыток – установите флажок "Успех".
        • Аудит только неудачных попыток – установите флажок "Ошибка".
        • Чтобы отслеживать как успешные, так и неудачные попытки, установите оба флажка.
        1. Нажмите папку правой кнопкой мыши и выберите "Свойства".
        • Выберите папку, в которой вы хотите отслеживать или проверять действия.
        • Щелкните правой кнопкой мыши по папке.
        • Нажмите на свойства
        1. В окне "Свойства" перейдите на вкладку "Безопасность".
          1. Перейдите на вкладку "Аудит" и нажмите "Изменить".

          В новом диалоговом окне нажмите «Добавить» и добавьте в список «Все».

          Теперь в окне "Аудит для" выберите "Полный доступ" и нажмите "ОК". Наконец, закройте все открытые окна, нажав кнопку ОК

          Разверните «Журналы Windows» → выберите «Безопасность» → нажмите «Фильтровать текущий журнал…»

          1. Введите идентификатор события для его поиска.
            1. Дважды щелкните любое событие, чтобы просмотреть сведения о нем.

            Когда все события с идентификатором будут перечислены, дважды щелкните любое событие, чтобы просмотреть сведения о нем.

            Выполните поиск других соответствующих идентификаторов событий, указанных ниже.


            Ограничения собственного аудита

            Однако в большинстве случаев собственный аудит файлового сервера не обеспечивает достаточного уровня детализации. Это потому, что это полностью реактивный процесс. Для более эффективного аудита файлового сервера важно постоянно следить за изменениями. Это просто невозможно с нативными методами.К счастью, сторонние решения для аудита, такие как Lepide File Server Auditor, могут упростить этот процесс с помощью интуитивно понятного пользовательского интерфейса и удобных функций для автоматизации задач, которые в противном случае потребовали бы очень много времени.

            Как Lepide File Server Auditor может помочь вам лучше отслеживать изменения в файлах и папках

            Lepide File Server Auditor (часть Lepide Data Security Platform) фиксирует события файлов/папок, чтобы контролировать каждое действие пользователей как на файловых серверах Windows, так и на файловых серверах NetApp. Решение создает «Отчет обо всех изменениях» на вкладке «Отчеты об аудите», в котором отображается подробная информация обо всех изменениях (как в виде таблицы, так и в виде графика), которые были сделаны пользователями в файловых системах. Ниже приведен скриншот с примером «Отчета обо всех изменениях».

            Аудит изменений файлового сервера Lepide

            Последнее примечание

            Что касается встроенного аудита, обеспечение безопасности ИТ-среды напрямую зависит от того, сколько времени у вас есть на регулярный аудит файловых серверов. Если вы обнаружите, что у вас просто нет времени на собственный аудит или что этот процесс слишком сложен, вы всегда можете положиться на такие решения, как Lepide File Server Auditor.

            Класс StorageLibraryChangeTracker позволяет приложениям отслеживать изменения в файлах и папках, когда пользователи перемещают их по системе. С помощью класса StorageLibraryChangeTracker приложение может отслеживать:

            • Операции с файлами, включая добавление, удаление, изменение.
            • Операции с папками, такие как переименование и удаление.
            • Файлы и папки перемещаются на диске.

            Используйте это руководство, чтобы изучить модель программирования для работы с системой отслеживания изменений, просмотреть примеры кода и понять различные типы операций с файлами, отслеживаемые StorageLibraryChangeTracker.

            StorageLibraryChangeTracker работает с пользовательскими библиотеками или с любой папкой на локальном компьютере. Сюда входят дополнительные или съемные диски, но не диски NAS или сетевые диски.

            Использование отслеживания изменений

            Отслеживание изменений реализовано в системе как циклический буфер, в котором хранятся последние N операции файловой системы. Приложения могут считывать изменения из буфера, а затем обрабатывать их в своих собственных приложениях. Когда приложение закончит вносить изменения, оно пометит их как обработанные и больше никогда их не увидит.

            Чтобы использовать средство отслеживания изменений в папке, выполните следующие действия:

            1. Включить отслеживание изменений для папки.
            2. Дождитесь изменений.
            3. Читать изменения.
            4. Принять изменения.

            В следующих разделах рассматриваются все этапы с примерами кода. Полный пример кода приведен в конце статьи.

            Включить отслеживание изменений

            Первое, что должно сделать приложение, — сообщить системе, что оно заинтересовано в отслеживании изменений в данной библиотеке. Это делается путем вызова метода Enable в средстве отслеживания изменений для интересующей библиотеки.

            Несколько важных замечаний:

            • Перед созданием объекта StorageLibrary убедитесь, что у вашего приложения есть разрешение на доступ к правильной библиотеке в манифесте. Дополнительные сведения см. в разделе Права доступа к файлам. является потокобезопасным, не сбрасывает ваш указатель и может вызываться столько раз, сколько вам нужно (подробнее об этом позже).

            Включение пустого изменения трекер

            Подождать изменений

            После инициализации средства отслеживания изменений оно начнет записывать все операции, происходящие в библиотеке, даже если приложение не запущено. Приложения можно зарегистрироваться для активации в любое время при внесении изменений путем регистрации на событие StorageLibraryChangedTrigger.

            Изменения, добавляемые в трекер изменений без чтения их приложением

            Прочитать изменения

            Затем приложение может запросить изменения в средстве отслеживания изменений и получить список изменений с момента последней проверки. В приведенном ниже коде показано, как получить список изменений из средства отслеживания изменений.

            Затем приложение отвечает за обработку изменений в своем интерфейсе или базе данных по мере необходимости.

            Чтение изменений из средство отслеживания изменений в базу данных приложения

            Второй вызов enable предназначен для защиты от состояния гонки, если пользователь добавит другую папку в библиотеку, пока ваше приложение считывает изменения.Без дополнительного вызова Enable код выдаст ошибку ecSearchFolderScopeViolation (0x80070490), если пользователь меняет папки в своей библиотеке

            Принять изменения

            После того как приложение закончит обработку изменений, оно должно запретить системе больше отображать эти изменения, вызвав метод AcceptChangesAsync.

            Пометка изменений как прочитанных чтобы они больше никогда не показывались

            Теперь приложение будет получать новые изменения только при чтении системы отслеживания изменений в будущем.

            • Если между вызовами ReadBatchAsync и AcceptChangesAsync произошли изменения, указатель будет перемещен только на самое последнее изменение, которое увидело приложение. Эти другие изменения будут по-прежнему доступны при следующем вызове ReadBatchAsync.
            • Отказ от принятия изменений приведет к тому, что система вернет тот же набор изменений при следующем вызове приложением ReadBatchAsync.

            Важные вещи, которые нужно помнить

            При использовании средства отслеживания изменений следует помнить о нескольких вещах, чтобы убедиться, что все работает правильно.

            Переполнение буфера

            Несмотря на то, что мы пытаемся зарезервировать достаточно места в средстве отслеживания изменений, чтобы хранить все операции, происходящие в системе, до тех пор, пока ваше приложение не сможет их прочитать, очень легко представить сценарий, в котором приложение не считывает изменения до циклического буфер перезаписывает себя. Особенно, если пользователь восстанавливает данные из резервной копии или синхронизирует большую коллекцию изображений со своего телефона с камерой.

            • Буфер перезаписался с момента последнего просмотра. Лучше всего повторно просканировать библиотеку, поскольку любая информация из средства отслеживания будет неполной.
            • Отслеживание изменений больше не будет возвращать изменения, пока вы не вызовете функцию "Сброс". После сброса вызова приложения указатель переместится на самое последнее изменение, и отслеживание возобновится в обычном режиме.

            Такие случаи должны происходить редко, но в сценариях, когда пользователь перемещает большое количество файлов на своем диске, мы не хотим, чтобы средство отслеживания изменений раздувалось и занимало слишком много места. Это должно позволить приложениям реагировать на массовые операции с файловой системой, не нарушая работу пользователей в Windows.

            Изменения в StorageLibrary

            Класс StorageLibrary существует как виртуальная группа корневых папок, содержащих другие папки. Чтобы согласовать это с отслеживанием изменений файловой системы, мы сделали следующие выборы:

            • Любые изменения дочерних папок корневой библиотеки будут представлены в средстве отслеживания изменений. Папки корневой библиотеки можно найти с помощью свойства Folders.
            • Добавление или удаление корневых папок из StorageLibrary (через RequestAddFolderAsync и RequestRemoveFolderAsync) не приведет к созданию записи в средстве отслеживания изменений. Эти изменения можно отслеживать с помощью события DefinitionChanged или путем перечисления корневых папок в библиотеке с помощью свойства Folders.
            • Если в библиотеку добавляется папка с уже находящимся в ней содержимым, уведомление об изменении или записи отслеживания изменений создаваться не будут. При любых последующих изменениях потомков этой папки будут создаваться уведомления и записи отслеживания изменений.

            Вызов метода Enable

            Приложения должны вызывать Enable, как только они начинают отслеживать файловую систему и перед каждым перечислением изменений. Это гарантирует, что все изменения будут зафиксированы системой отслеживания изменений.

            Собираем вместе

            Вот весь код, который используется для регистрации изменений из видеотеки и начала получения изменений из средства отслеживания изменений.

            < бр />

            Мартин Хендрикс


            Мартин Хендриккс
            Писатель

            Мартин Хендриккс много лет пишет о технологиях. Его внештатная карьера включает в себя все: от сообщений в блогах и новостных статей до электронных книг и научных статей. Подробнее.


            Если кто-то еще использует ваш компьютер или вам нужно посмотреть, какие изменения были внесены в ваши файлы и папки в течение определенного времени, вы можете использовать удобное приложение FolderChangesView от Nirsoft. Nirsoft — отличный поставщик бесплатного программного обеспечения, который производит удивительные небольшие инструменты для вашего ПК, и самое приятное то, что они никогда не связывают ненужное ПО со своими программами, как это делают многие другие поставщики программного обеспечения.

            Что такое просмотр изменений папки?

            FCV — это небольшая автономная утилита, созданная Nirsoft Labs, которая упрощает мониторинг папок целых дисков на предмет любых изменений. Он предоставит вам полный список всех файлов, которые были изменены, созданы или удалены за время, когда папка отслеживается. В дополнение к мониторингу локального диска, FCV также позволяет вам отслеживать диски, которые используются совместно по сети, если у вас есть «Разрешения на чтение».

            Загрузка утилиты

            Когда вы будете готовы начать, вам нужно будет загрузить утилиту FolderChangesView с веб-сайта Nirsoft. Просто прокрутите страницу вниз и загрузите zip-файл, содержащий отдельный исполняемый файл. После того, как вы загрузили программу, создайте папку на рабочем столе с именем FCV (или куда вы хотите ее поместить), а затем извлеките содержимое в папку.


            Запуск и использование просмотра изменений папки

            Поскольку FCV является автономным приложением, его установка не требуется. Все, что вам нужно сделать, это открыть папку, в которой находятся извлеченные файлы, и дважды щелкнуть файл «FolderChangesView.exe». Помните, что вам может потребоваться разрешить запуск приложения, нажав кнопку «Выполнить» в окне «Предупреждение системы безопасности».

            После того как вы открыли программу, вам нужно будет выбрать папку, которую вы хотите контролировать, а затем нажать кнопку «ОК». Как только вы нажмете «ОК», утилита автоматически начнет отслеживать вашу папку и любые подпапки в соответствии с заданными вами параметрами. В этом примере мы выберем мониторинг папки «Загрузки» в Windows. Сделайте это, изменив целевую папку, как показано на изображении ниже.


            После того, как вы выбрали папку для мониторинга, вы также можете изменить параметры мониторинга, изменив любые другие настройки, показанные на снимке экрана. Мы не будем использовать их сейчас, но вы можете поэкспериментировать с ними позже. Эти настройки не изменят никакие файлы на вашем компьютере, поэтому вам не нужно беспокоиться о том, что вы что-то испортите, введя «неправильные» настройки.

            Внесите некоторые изменения!

            Теперь, когда мы определили, какая папка будет отслеживаться, пришло время внести одно или два изменения, чтобы посмотреть, как отображается информация. В этом примере я удалю файл из папки, добавлю новую папку и перемещу существующие файлы в эту новую папку.


            1. «Paragon Partition Ma…» удален.
            2. «Новая папка» была создана, а затем изменена (модификация произошла из-за изменения имени)
            3. «VirtualBox-4.3.20-9699…» был удален и создан. Это указывало на то, что файл был перемещен, поскольку он был создан в «Новой папке» и удален из исходной папки «Загрузки».
            4. В «Oracle_VM_VirtualBox…» внесены те же изменения, что и в предыдущем файле, поскольку он также был перемещен.

            Какая информация отображается?

            Утилита предоставит вам подробную информацию обо всех изменениях в папке. Если вы прокрутите окно «Мониторинг» вправо, вы увидите подробную информацию о файле, включая:

            Если вы хотите увидеть всю эту информацию об одном файле в окне, а не прокручивать его в сторону, вы можете щелкнуть правой кнопкой мыши любую запись, а затем нажать «Свойства». (НЕ свойства файла)


            Подведение итогов

            Теперь, когда вы знаете, как отслеживать изменения файлов на своем ПК, вам больше никогда не придется задумываться о том, что люди делали на вашем компьютере. Вы также можете отслеживать любые изменения, которые могли быть сделаны вредоносным программным обеспечением, чтобы отследить его и устранить. Не стесняйтесь играть с настройками и изменять папки мониторинга, чтобы увидеть, что произойдет. Если вы когда-нибудь захотите удалить программу, это так же просто, как удалить папку FCV, так как установка не требуется.

            • › Как использовать WinPatrol для отслеживания изменений на ПК с Windows
            • › Сколько оперативной памяти требуется вашему ПК?
            • › Что означает ИК и как вы его используете?
            • › 5 вещей, которые вы, вероятно, не знали о GIF-файлах
            • › Что такое GrapheneOS и как она делает Android более приватным?
            • › Matter — это долгожданный стандарт умного дома
            • › 7 основных функций Microsoft Excel для составления бюджета

            Читайте также: