Это продолжение до этого вопроса .
Я последовал принятому ответу и подумал, что доволен результатами, но наткнулся на контрольно-пропускной пункт.
Настройка
Я запускаю свою программу C # с сервера, который контролирует каталог.Каждый раз, когда файл изменяется, FileSystemWatcher вызывает событие, которое заставляет программу проверять журналы аудита безопасности (которые были включены, см. Решение предыдущего вопроса).
Проблема
Моя проблема в том, что когда я проверяю журналы безопасности после того, как удаленный пользователь изменил файл, они регистрируются как анонимный пользователь.Конкретно "NT AUTHORITY \ SYSTEM".Есть ли способ извлечь уникальную информацию из этих журналов безопасности, которая поможет мне дифференцировать пользователей, изменяющих файлы?
The Deets
Я использую EventLog
читать журналы безопасности следующим образом:
EventLog log = new EventLog("security");
EventLogEntryCollection col = log.Entries;
//...
string username = entry.UserName;