2008

Diesel315 · Отправлено: **12:49, 11-04-2012** | #2

Дабы не плодить напишу здесь.

По сути у меня похожая ситуация, только с некоторыми отличиями.
Рядовой сервер 2008 R2 (FSRM) входит в домен . Политика аудита включена на уровне КД. Надо отслеживать создание/удаление файлов. Настроил аудит на нужных шарах, события нужные появляются в Безопасности, но... размер данного журнала по умолчанию 16 Мб, в этот размер умещается всего лишь 1 час жизни сервера (ибо как написали выше, фиксируется каждый чих). Отсюда вопрос как запретить записывать события некоторых "Категорий задач" (Как пример "Сведения об общем файловом ресурсе")

Diesel315 · Отправлено: **15:31, 11-04-2012** | #3

Отвечаю сам себе.
И так политику аудита как написал выше включили выше на КД. Повлиять на это я никак не могу, ну да и не надо особо. В общем на локальном сервере заходим в Локальную политику безопасности (secpol.msc) и переходим в "Конфигурация расширенной политики аудита" (из названия думаю понятно, что это такое) также нужно включить переопределение, что это такое и где включить написано как только вы зайдете в "Конфигурация расширенной политики аудита". Для себя в этом меню настроил только доступ к объектам/аудит файловой системы...
Все теперь журнал безопасность пустой (даже не фиксируется вход выход (это можно также настроить)), кроме нужного мне аудита создания/удаления файлов (событие 4663) общих ресурсов...