вообщем Windows Server 2003.
вот скрин евент вьюера:
http://exonix.ru/fa.jpg
использую EventCombMT, поиск по ID 560 и по имени пользователю (два разных поиска).
По ID 560 всего 13 записей, а по пользователю ни одного!!!
Но ведь в евент вьюере какждую секунду по несколько записей. Что происходит?
вообще, что это за ID ? читал в технете, ничего не понял...
сейчас обнаружил евенты 567 и 562 - success Audit у этого же пользователя.
Эти евенты связанны, но я не понимаю их.
ещё такой момент: на ресурс, куда указывает лог - настроен аудит (Аудит файлов для всех пользователей).
Описание:
Object Open:
Object Server: Security
Object Type: File
Object Name: F:\ХХХ\ХХХХХХХХХХХХ
Handle ID: -
Operation ID: {0,2316756179}
Process ID: 4
Image File Name:
Primary User Name: ХХХХ$
Primary Domain: DOMAIN
Primary Logon ID: (0x0,0x3E7)
Client User Name: ххххххххх
Client Domain: DOMAIN
Client Logon ID: (0x0,0x8A16DB37)
Accesses: READ_CONTROL
ReadData (or ListDirectory)
ReadEA
ReadAttributes

Privileges: -
Restricted Sid Count: 0
Access Mask: 0x20089