Я включил аудит для определенной папки, затем создал подпапку под названием «Pippo».В журнале событий безопасности Windows я вижу системные события, тогда я вижу только эти три блока значимых событий:
4656 - 4690 - 4658 ** 4656 - 4663 - 4658 ** 4656 - 4663 - 4658
этот блок событий в основном говорит мне, что была создана новая папка с именем "новая папка" и что она была удалена, и что в моей конкретной папке была выполнена операция, которая предполагает создание новой папки.
Я не вижу каких-либо событий, связанных с настоящим именем каталога «Пиппо».Я бы ожидал что-то вроде переименования.
Я что-то пропустил?Я видел программы, которые анализируют журнал событий Windows, чтобы отслеживать такие операции и записывать их при обнаружении события переименования «новой папки» в «Pippo».
Информация должна быть взята в журнале событий безопасности.но я просто не вижу этого, поэтому мне интересно, как они могут сделать что-то подобное!
Более того, это событие определено как доступ DELETE, поэтому без информации об имени объекта изменения было бы невозможно определитьчто это переименование.