EaseFilter File System文件I/O监视器

EaseFilter文件I/O监视器

EaseFilter文件I/O监视器可以实时审计Windows中的文件访问和更改。使用EaseFilter文件监视器，您可以监控文件系统级别的文件活动，捕获文件打开、创建、覆盖、读、写、查询文件信息、设置文件信息、查询安全信息、设置安全信息、文件重命名、文件删除、目录浏览和文件关闭I/O请求。您可以创建文件访问日志，您将知道谁，何时，访问了哪些文件。您可以通过跟踪和监控所有用户和文件的活动、权限变更、存储容量，对用户和数据进行全面的控制和可见性，并生成实时审计报告。

设置

要启动过滤器驱动程序，首先需要在设置中添加过滤规则，然后过滤器驱动程序将知道要管理哪个文件。

1.添加过滤规则

若要管理文件，请添加带有通配符的包含文件筛选器掩码，如果希望该筛选器掩码具有例外，则添加排除文件筛选器掩码，或将其设置为空。

可以有多个过滤规则，每个包含文件过滤掩码必须是唯一的，每个包含文件过滤掩码可以有多个排除文件过滤掩码。

当用户访问文件时，过滤器驱动程序将检查过滤规则，如果文件匹配文件规则的包含文件过滤掩码，则检查该过滤规则中是否有排除文件过滤掩码，如果文件匹配排除文件过滤掩码，则不管理此文件，或者将管理此文件。

2.保护流程

为了防止进程被终止，您可以在这里添加进程Id，如果您想取消对它的保护，可以删除它。

3.包括流程

如果您只想管理来自特定进程的文件，那么在这里添加进程Id，或者让它为空，它将包括所有进程。

4.排除过程

如果您不想管理来自特定进程的文件，那么在这里添加进程Id，或者让它为空，它不会排除任何进程。

5.监视I/O请求

选择要监视的I/O请求，这样当过滤器驱动程序捕获I/O请求时，控制台将显示I/O信息。

6.仅显示文件更改事件

如果您不想显示这么多I/O请求，为了快速设置，您可以只在选择文件更改事件时显示文件更改I/O请求。

开始监控

启动监视器后，在控制台中，您将看到如下的I/O信息:

从控制台中，您可以看到这些信息:

1.时间:I/O操作的事务时间。

2.用户名:访问文件的用户名，如果是从远程服务器访问文件，会额外增加“从远程服务器访问文件”。

3.进程名和进程Id:访问文件并发起该I/O请求的进程。

4.threaddid:访问文件并发起这个I/O请求的线程。

5.I/O请求名称:I/O请求的名称。

6.FileObject:它类似于文件句柄的概念，每个文件打开，系统I/O管理器将生成一个唯一的文件对象，直到文件句柄被关闭。

6.文件名:与此I/O请求相关联的文件名。

7.文件大小:被访问文件的文件大小。

8.文件属性:被访问文件的文件属性。

9.“最后一次写时间”:文件被访问的最后一次写时间。

10.返回状态:返回I/O状态，如果返回成功，警告或错误代码，则显示I/O结果。

11.描述:描述显示I/O请求的额外详细信息。A.文件被删除，b.文件被重命名，c.新文件被创建。D.查询数据信息。