Auditoria de arquivos – Como saber quem deletou os arquivos da pasta?

[youtube=http://www.youtube.com/watch?v=HKPqC2Cbf7w] Muitos me perguntam como fazer para saber quem deletou os arquivos de um pasta. Isso é bem simples no Windows 2008 R2.
Neste vídeo, eu ensino como criar a auditoria para registrar os arquivos e pastas deletados e ainda mostro como criar uma visualização fácil com o event viewer do Windows 2008 R2.
Segue o link para baixar:
http://www.rafaelbernardes.com.br/wms/auditoria.rar
Conheça também uma versão paga de outro produto:
https://cooperati.com.br/2015/02/27/instalando-lepideauditor-for-file-server-no-windows-server/
 
E aproveito para perguntar. Preferem baixar os arquivos de vídeo-aula ou assistir online?

[polldaddy poll=4332207]

Share

    Comments

    1. Boa noite!
      Um amigo de TI “BRUNO CRUZ”, me indicou seu site, pois estava com problemas de arquivos e pastas deletadas, e não sabia como resolver, graças a esse seu vídeo de “Auditoria de Arquivos”, agora posso ter controle total dos mesmos. Valeu muito pela informação!
      O seu site está nota 10, pois o conteúdo apresentado nele, tem grande valia, espero no futuro poder somar com alguma informação.
      Não sei se vc pode me ajudar, mas estou com problema de restrição a disco removível via GPO, com o servidor Windows Small Business Server 2008 e as estações em Windows XP. Qd estou logado com um usuário administrador, consigo o bloqueio, mas qd estou como usuário do domínio, não consigo bloqueá-lo. Abaixo segue as linhas de bloqueio que tentei, tanto para o computador como para o usuário via GPO.
      COMPUTADOR: GERENCIAMENTO DE DIRETIVA DE GRUPO/ OU/ GPO-DISCO REMOVIVEL/ EDITAR/ CONFIGURAÇÕES DO COMPUTADOR/ DIRETIVAS/ MODELOS ADMINISTRATIVOS/ SISTEMAS/ INSTALAÇÕES DE DISPOSITIVOS/ RESTRIÇÕES DE INSTALAÇÃO DE DISPOSITIVOS/ IMPEDIR A INSTALAÇÃO DE DISCOS REMOVIVEIS.
      USUÁRIO: GERENCIAMENTO DE DIRETIVA DE GRUPO/ OU/ GPO-DISCO REMOVIVEL/ EDITAR/ CONFIGURAÇÕES DO COMPUTADOR/ DIRETIVAS/ MODELOS ADMINISTRATIVOS/ SISTEMAS/ ACESSO DE ARMAZENAMENTO REMOVIVÉL/ TODAS AS CLASSES DE ARMAZENAMENTO REMOVIVÉL: NEGAR….
      Mas sem sucesso, pois ao editar a GPO, diz que para o correto funcionamento da mesma o sistema operacional tem que obedecer os requisitos mínimos como: Windows vista em diante, logo não funcionaria com o XP.
      Desde já agradeço sua atenção no aguardo de um breve retorno.
      Atenciosamente,
      Afonso Nazário
      STI – Soluções em Teleinformática
      Representante Autorizado Siemens Telecomunicações

    2. Bom material, bem eleaborado em professor!!!

    3. Poderia postar novamente o viseo pois o mesmo não carrega até o fim Obrigado

    4. Boa tarde Rafael,
      O link para Download do vídeo está quebrado ou nao está funcionando. Poderia postar novamente por favor.
      Parabéns pela postagem,
      Obrigado!

    5. Avatar for Rafael Bernardes Marcos Paulo Fagundes de Lima : 6 de dezembro de 2011 at 11:22 pm

      Rafael parabéns pelo video.
      Ficou muito bem explicado e inclusive abre novas possibilidades no refino de logs no windows Server 2008 R2!!
      Parabéns mesmo! é de muita valia.

    6. Olá Rafael!
      Parabéns pelo vídeo, além de ser bem elaborado você tem didática, o que facilita muito.
      Estou implantando a auditoria de pastas e arquivos aqui no trabalho, seu vídeo ajudou bastante, os logs de eventos de acesso ao objeto estão sendo registrados, porém, o evento que registra o log que indica que o arquivo foi deletado não aparece.
      O que pode estar acontecendo?
      Desde já agradeço.
      Cláudia.

    7. Olá! Descobri o problema. Habilitei a auditoria no servidor de arquivos. Até então estava fazendo isso no servidor AD e via police indicando o servidor de arquivo. Depois de ter habilitado localmente deu certo.

    8. Agradeço sua atenção e rapidez na resposta do comentário.
      Obrigada

    9. Ótima dica!!!! Parabéns!!!
      Só tenho uma dúvida. Caso o meu Servidor de Domínio seja o Servidor de Arquivos, como faço para dividir ele, para que não precise auditar todas as máquinas do domínio?

    10. Rafael,
      Parabéns pelo tutorial!
      Só uma duvida agora, como posso programar para ser feito de modo automático o backup dos logs de evento? Pois se o log que estiver em execução for muito grande, pode gerar lentidão no sistema.
      Obrigado!

    11. Amigo eu fiz aqui e deu tudo certinho so que “avisando que sou leigo to aprendendo agora” assim motra la foi deletado tal aquivo de tal pasta exemplo d:arquivos\corew\desenho.cdr mais ai mostra o usuario foi o desenhista ne so que temnho varias maquinas logadas como desenhista como faço pra saber pelo numer de ip ou nome da maquina sei la tem como??
      aproposito seu post é de grande ajuda pra muita gente parabens!!!!!!!!!!!

    12. Rafael Boa Tarde,
      Caro, é o seguinte tem alguma forma de conseguir gravar apenas os logs do evento 4663 e salva-los em algum outro local, porque eu tenho muitos usuários e com isso meu log so na parte da manhã chega a 500 MB eu queria gravar apenas esse evento outra pergunta ex: se um usuário abrir um arquivo ex : .docx e fizer uma alteração e fechar o documento vai pro meu log de auditoria como deletado, tem alguma forma de auditar apenas arquivos realmente excluídos ou deletados. Agradeço a atenção

      • Você pode filtrar o evento para o exato que você deseja, talvez diminua o número de falsos-positivos. E também pode mudar o local de armazenamento dos LOGs, mas não me recordo se dá para fazer isso somente em um filtro.
        O que eu faço (quando não tem system center ou qq outro manager) é separar uma máquina para receber todos os LOGs dos servidores.

    13. Avatar for Rafael Bernardes André O. Andrade : 23 de outubro de 2012 at 1:06 pm

      No link abaixo, existe o significado de alguns EventIDs:
      http://support.microsoft.com/kb/977519/pt-br
      (Descrição de eventos de segurança no Windows 7 e no Windows Server 2008 R2)

    14. Consegui implementar a auditoria de acesso a objetos aos arquivos deletados no meu servidor, porem gostaria de saber também quem moveu os arquivos da rede, como devo prosseguir? Alguém conhece algum software que interpreta logs do Event Viewer?

      • Oi Gustavo,
        Você pode sim rastrear a movimentação de arquivos pela rede. Mas você vai ter que descobrir o código do evento para poder criar uma exibição personalizada. Eu recomendo fazer testes observando o LOG do Windows. É assim que faço para descobrir os códigos que preciso.
        E um software legal que pode lhe ajudar com LOGs é o Kiwi. Acho que é da Solar Winds.

        • Rafael, em primeiro lugar gostaria de agradecer sua atenção referente as minhas dúvidas.
          Tentei observar os logs, mas quando renomeio ou recorto os arquivos para outras pastas é gerado um LOG ID 4663 como se o arquivo fosse deletado e não é gerado nenhum log diferente.

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    © 2019 All Rights Reserved. Cooperati. 

    %d blogueiros gostam disto: