现场想要实现审计USB存储设备和终端之间传输文件的过程,包括文件名,传输的时间。测试发现,在usb存储设备上复制文件,usb存储设备复制文件到本地,本地复制文件到usb存储设备上,文件操作日志内都没有记录。
配置如下图:
如果日志内没有信息,检查策略请求周期参数。
现场目前创建,读取,重命名,修改都可以在文件操作日志中看到,只有复制看不到。后续在进程列表中加上explorer.exe,可以正常识别到复制操作。
explorer.exe为复制粘贴的进程,和资源管理器有关的全是explorer.exe。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作