Я разрабатываю приложение, которое будет анализировать журналы событий Windows для идентификатора события 4663, чтобы собрать информацию о том, кто создал \ изменен \ удален файл (ы) из отслеживаемой папки.
Я включил параметр «Аудит файловой системы» в разделе «Расширенная настройка политики аудита» из локальной групповой политики. Для аудита папки я назначил полный доступ к принципалу «все» из безопасности отслеживаемой папки-> Дополнительно-> Аудит.
Когда я создаю пустой файл в контролируемой папке, я не получаю никакого события с идентификатором 4663 с типом доступа «WriteData (или AddFile)», маской доступа «0x02». Но когда я копирую непустой файл в эту отслеживаемую папку, я получаю событие с кодом 4663 с указанным выше типом доступа и маской доступа.
Я проверил это вручную на своем ноутбуке (Windows 8.1 home 64-bit). Но когда я проверил его на своем рабочем столе (Win 10 professional 64 bit), событие 4663 приходит с указанным выше типом доступа (WriteData (или AddFile)) и маской доступа (0x02), несмотря на создание пустого файла в контролируемой папке.
Я ищу объяснение этому странному поведению.