记录Windows下文件操作记录

admin

https://blog.csdn.net/huashuolin001/article/details/73863324

在Windows下，有时会遇到有些文件或者文件夹丢失的问题，不知道是谁，什么时候，哪个程序把文件或者文件夹删除。特别是开发者遇到自己用于存储的文件丢失，不知是自己程序导致还是其他程序或者病毒导致。此时采用下面的方法，可以使用Windows日志，记录文件或者文件夹的操作记录。





一设置
通过启用文件夹的审核和审核策略就能够记录相应的日志，具体步骤如下：

1.      确保盘的格式为NTFS。

选择磁盘（如C盘），右击属性，如图：













2.      右击想要监测的文件夹（如C:\Users\G.Ward\Desktop\Test），点击安全>>高级，

在“审核”选项卡下，点击“添加”，加入Everyone，并且对“删除子文件夹及文件”和“删除”的成功和失败都启用审核





3.      开始>>运行>>gpedit.msc，计算机配置-Windows设置--安全设置-本地策略--审核  策略-审核对象访问，中启用成功和失败


4. 如果删除了文件或者文件夹，系统日志查看器里面会有相应的记录。

二查看删除日志

右击计算机>>管理>>系统工具>>事件查看器>>Windows日志>>安全，点击查找，输入文件或文件夹名（如qwe.txt），即可查看到关于文件或者文件夹（如qwe.txt）的操作记录，如下图









双击查看该条信息，如图：

admin

这个方式缺点就是日志是一条一条的
不知道是否能写个软件 统一归纳整理 然后可以按照exe排序,比如知道某个exe做了什么操作
或者可以按照文件排序,比如知道桌面上的一个word文档被哪些exe读取或者操作过了