EaseFilter文件I/O监视器
EaseFilter文件I/O监视器可以实时审计Windows中的文件访问和更改。使用EaseFilter文件监视器,您可以监控文件系统级别的文件活动,捕获文件打开、创建、覆盖、读、写、查询文件信息、设置文件信息、查询安全信息、设置安全信息、文件重命名、文件删除、目录浏览和文件关闭I/O请求。您可以创建文件访问日志,您将知道谁,何时,访问了哪些文件。您可以通过跟踪和监控所有用户和文件的活动、权限变更、存储容量,对用户和数据进行全面的控制和可见性,并生成实时审计报告。
设置
要启动过滤器驱动程序,首先需要在设置中添加过滤规则,然后过滤器驱动程序将知道要管理哪个文件。
1.添加过滤规则
若要管理文件,请添加带有通配符的包含文件筛选器掩码,如果希望该筛选器掩码具有例外,则添加排除文件筛选器掩码,或将其设置为空。
可以有多个过滤规则,每个包含文件过滤掩码必须是唯一的,每个包含文件过滤掩码可以有多个排除文件过滤掩码。
当用户访问文件时,过滤器驱动程序将检查过滤规则,如果文件匹配文件规则的包含文件过滤掩码,则检查该过滤规则中是否有排除文件过滤掩码,如果文件匹配排除文件过滤掩码,则不管理此文件,或者将管理此文件。
2.保护流程
为了防止进程被终止,您可以在这里添加进程Id,如果您想取消对它的保护,可以删除它。
3.包括流程
如果您只想管理来自特定进程的文件,那么在这里添加进程Id,或者让它为空,它将包括所有进程。
4.排除过程
如果您不想管理来自特定进程的文件,那么在这里添加进程Id,或者让它为空,它不会排除任何进程。
5.监视I/O请求
选择要监视的I/O请求,这样当过滤器驱动程序捕获I/O请求时,控制台将显示I/O信息。
6.仅显示文件更改事件
如果您不想显示这么多I/O请求,为了快速设置,您可以只在选择文件更改事件时显示文件更改I/O请求。
开始监控
启动监视器后,在控制台中,您将看到如下的I/O信息:
从控制台中,您可以看到这些信息:
1.时间:I/O操作的事务时间。
2.用户名:访问文件的用户名,如果是从远程服务器访问文件,会额外增加“从远程服务器访问文件”。
3.进程名和进程Id:访问文件并发起该I/O请求的进程。
4.threaddid:访问文件并发起这个I/O请求的线程。
5.I/O请求名称:I/O请求的名称。
6.FileObject:它类似于文件句柄的概念,每个文件打开,系统I/O管理器将生成一个唯一的文件对象,直到文件句柄被关闭。
6.文件名:与此I/O请求相关联的文件名。
7.文件大小:被访问文件的文件大小。
8.文件属性:被访问文件的文件属性。
9.“最后一次写时间”:文件被访问的最后一次写时间。
10.返回状态:返回I/O状态,如果返回成功,警告或错误代码,则显示I/O结果。
11.描述:描述显示I/O请求的额外详细信息。A.文件被删除,b.文件被重命名,c.新文件被创建。D.查询数据信息。
全部0条评论
快来发表一下你的评论吧 !