記錄windows刪除文件夾和文件記錄 系統日誌

確保盤的格式爲NTFS

經過啓用文件夾的審覈和審覈策略就可以記錄相應的日誌，具體步驟以下：

1．     在文件夾屬性的安全選項卡中，點擊「高級」。

2．     在「審覈」選項卡下，點擊「添加」。加入Everyone，而且對「刪除子文件夾

        及文件」和「刪除」的成功和失敗都啓用審覈。

3．     在組策略（開始》運行>>gpedit.msc）
        計算機配置-Windows設置--安全設置-本地策略--審覈  策略-審覈對象訪問，中啓用成功和失敗
若是刪除了文件夾，系統日誌查看器裏面會有相應的記錄。

打開的對象:
     對象服務器:    Security
     對象類型:    File
     對象名稱:    F:\tmp\2008\SDZ\language\English.lng
     句柄 ID:    1948
     操做 ID:    {0,14736652}
     過程 ID:    2168
     圖像文件名:    C:\WINDOWS\explorer.exe
     主要用戶名:    hsy
     主要域:    CQCOMPUTER
     主要登陸 ID:    (0x0,0x1A600)
     客戶端用戶名:    -
     客戶端域:    -
     客戶端登陸 ID:    -
     訪問次數:        -
     特權:        Delete
            ReadAttributes
            
     受限 Sid 計數: 0

感受這個微軟還不是吹出來的