Я пересылаю событие Windows с помощью приложения ossec. Я хочу знать, есть ли способ узнать, переименовывается ли файл, используя журналы событий Windows.
Я вижу, что есть идентификатор события 4663 , в котором маска доступа "0x10000" создается при удалении любого файла. тот же журнал, происходит при переименовании файла. Итак, могу ли я различить эти две вещи, используя журналы событий Windows.
Я специально хочу знать, переименовывается ли какой-либо файл с помощью журналов идентификаторов событий Windows.