查找文件被删除的记录日志

在实际工作中总是遇到这样的问题，存在公共盘的文件在某个时间突然消失，被删除。但是因可编辑这个公共盘的人员过多，想要查看文件被谁删除比较困难，所以我们可以做如下操作。

1.首先进入文件服务器中，打开本地组策略编辑器或在文件服务器运行输入gpedit.msc。

2.进入本地组编辑器-计算机配置-Windows设置-安全设置-高级审核策略配置-对象访问-审核文件系统。

 3.编辑审核文件系统。

 4.找到需要审核的文件夹（或者找到共享的文件夹），右键选择“属性”—“安全”—“高级”—“审核”—“添加”。

这里添加主体选择domain users（加域） 或者everyone（没加域）

 

根据需要设置权限（如只需要删除的记录可以只选择删除子文件夹及文件即可）

5.然后再管理工具中找到“事件查看器”—“Windows日志”—“安全”，筛选日志ID为4663的日志(Windows Logs -> Security), 我们可以看到它包含有关已删除文件的名称、删除文件的用户的帐户和进程名称的信息.

筛选如下所示。

根据筛选的内容可以查看到被删除的文件，以及谁删除此文件。