Всем привет!

Есть задача - настроить аудит файлов и папок, чтобы было видно кто, когда, что изменил. Включая, если было изменено содержимое файла или папки.

Настроил аудит по этой статье
https://habr.com/ru/company/netwrix/blog/208892/

После всех изменений в журналах появляются некоторые события:
1. если поменялись права на папку или файл
2. если поменялся аудит папки или файла

Если изменилось содержимое папки или файла никаких событий не появляется.

Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки?
Заранее спасибо!

Включая, если было изменено содержимое файла или папки. »
Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки? »

Если вы имеете в виду разницу, например одного документа, между тем что было и что стало то штатными средствами никак, только если переносить все документы в БД и уже средствами БД рулить. Аудит системы покажет Вам только то что было обращение к объекту и кто делал обращение.

Включая, если было изменено содержимое файла или папки. »
Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки? »

Если вы имеете в виду разницу, например одного документа, между тем что было и что стало то штатными средствами никак, только если переносить все документы в БД и уже средствами БД рулить. Аудит системы покажет Вам только то что было обращение к объекту и кто делал обращение.
Нет. Не надо сравнивать содержимое файла. Достаточно, чтобы в логах появилось событие, что файл был изменён

что файл был изменён »
Не факт, что он был изменён.

P.S. А для Word'а и Excel'я произведённое сохранение файла вообще означает удаление старого файла и создание на его месте одноимённого нового.

dahiko, групповая политика привязана к OU в котором находит сервер, которой нужно мониторить?

xcel'я произведённое сохранение файла вообще означает удаление старого файла и создание на его месте одноимённого нового. »

Да, конечно. Проверил еще раз.

Дополнительно проверил, что замыкания (loopback) в GPO отключен.

Убрал аудит, еще раз все настроил. Получил нужное событие при изменении файла. В таком случае генерируется EventID 4663 с Access Mask: 0x6 и с Accesses: WriteData


Пример события.

An attempt was made to access an object.


Subject:
Security ID: хх\administrator
Account Name: administrator
Account Domain: хх
Logon ID: 0x3DE02

Object:
Object Server: Security
Object Type: File
Object Name: C:\...........\New Text Document.txt
Handle ID: 0x178
Resource Attributes: S:AI


Process Information:
Process ID: 0x113c
Process Name: C:\Windows\System32\notepad.exe

Access Request Information:
Accesses: WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
Access Mask: 0x6