EaseFilter File System文件I/O监视器

描述

EaseFilter文件I/O监视器

EaseFilter文件I/O监视器可以实时审计Windows中的文件访问和更改。使用EaseFilter文件监视器,您可以监控文件系统级别的文件活动,捕获文件打开、创建、覆盖、读、写、查询文件信息、设置文件信息、查询安全信息、设置安全信息、文件重命名、文件删除、目录浏览和文件关闭I/O请求。您可以创建文件访问日志,您将知道谁,何时,访问了哪些文件。您可以通过跟踪和监控所有用户和文件的活动、权限变更、存储容量,对用户和数据进行全面的控制和可见性,并生成实时审计报告。

设置

要启动过滤器驱动程序,首先需要在设置中添加过滤规则,然后过滤器驱动程序将知道要管理哪个文件。

服务器

1.添加过滤规则

若要管理文件,请添加带有通配符的包含文件筛选器掩码,如果希望该筛选器掩码具有例外,则添加排除文件筛选器掩码,或将其设置为空。

可以有多个过滤规则,每个包含文件过滤掩码必须是唯一的,每个包含文件过滤掩码可以有多个排除文件过滤掩码。

当用户访问文件时,过滤器驱动程序将检查过滤规则,如果文件匹配文件规则的包含文件过滤掩码,则检查该过滤规则中是否有排除文件过滤掩码,如果文件匹配排除文件过滤掩码,则不管理此文件,或者将管理此文件。

服务器

2.保护流程

为了防止进程被终止,您可以在这里添加进程Id,如果您想取消对它的保护,可以删除它。

3.包括流程

如果您只想管理来自特定进程的文件,那么在这里添加进程Id,或者让它为空,它将包括所有进程。

4.排除过程

如果您不想管理来自特定进程的文件,那么在这里添加进程Id,或者让它为空,它不会排除任何进程。

5.监视I/O请求

选择要监视的I/O请求,这样当过滤器驱动程序捕获I/O请求时,控制台将显示I/O信息。

服务器

6.仅显示文件更改事件

如果您不想显示这么多I/O请求,为了快速设置,您可以只在选择文件更改事件时显示文件更改I/O请求。

开始监控

启动监视器后,在控制台中,您将看到如下的I/O信息:

服务器

从控制台中,您可以看到这些信息:

1.时间:I/O操作的事务时间。

2.用户名:访问文件的用户名,如果是从远程服务器访问文件,会额外增加“从远程服务器访问文件”。

3.进程名和进程Id:访问文件并发起该I/O请求的进程。

4.threaddid:访问文件并发起这个I/O请求的线程。

5.I/O请求名称:I/O请求的名称。

6.FileObject:它类似于文件句柄的概念,每个文件打开,系统I/O管理器将生成一个唯一的文件对象,直到文件句柄被关闭。

6.文件名:与此I/O请求相关联的文件名。

7.文件大小:被访问文件的文件大小。

8.文件属性:被访问文件的文件属性。

9.“最后一次写时间”:文件被访问的最后一次写时间。

10.返回状态:返回I/O状态,如果返回成功,警告或错误代码,则显示I/O结果。

11.描述:描述显示I/O请求的额外详细信息。A.文件被删除,b.文件被重命名,c.新文件被创建。D.查询数据信息。

 

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分