[Charg]

Цитата Dzirt2005:

А зачем вы собственно включили аудит вообще всего? Вам нужны только "Создание файлов/дозапись данных" все остальное вам вообще не нужно PS: Да, для того чтобы аудит создания файлов работал нужно в локальной групповой политике включить "Аудит доступа к объектам", а потом просто просматривать журнал по коду события 4663 например. Можно прямо задачу в планировщике привязать к этому событию »

Fйпишника виновного они всё равно не содержат. Какие еще есть варианты, может какое-нибудь сторонее ПО?

А вообще, событие 4663 кроме прочего мусора содержит SubjectLogonId 0x#######, может как-нибудь по нему можно определить кто это подключается? Имя пользователя мне ни о чем не скажет, нужен айпи или имя компьютера.

И еще было бы неплохо как-то отличать добавление нового файла в папку от модификации уже существующего.