मैंने एक Windows Server 2008-R2 पर "ऑडिट ऑब्जेक्ट एक्सेस" स्थापित किया है। फिर मैं एक विशिष्ट फ़ोल्डर प्रॉपर्टीज / सिक्योरिटी / एडवांस / ऑडिटिंग में गया और सभी के लिए एक एंट्री जोड़ी और "फाइल बनाएँ / डेटा लिखें" आइटम के लिए सक्सेसफुल और फेल दोनों की जाँच की।
यह सब ठीक काम करता है और इवेंट-व्यूअर / विंडोज लॉग / सिक्योरिटी में मैं टास्क कैटेगरी "फाइल सिस्टम" के साथ इवेंट आईडी 4656 देखूंगा और जब मैं उस फोल्डर में फाइल एडिट करता हूं तो मैं अपना यूजरआईडी और "नोटपैड। Exe" देखूंगा। एक परीक्षण के रूप में। हालाँकि, अब मैं एक ही इवेंट आईडी की अन्य घटनाओं में हज़ारों (शाब्दिक रूप से कई हजार - 50 प्रति सेकंड) देखता हूं, लेकिन "अन्य ऑब्जेक्ट एक्सेस" के टास्क श्रेणी के साथ "किसी वस्तु के लिए एक हैंडल" जैसे विवरणों के साथ अनुरोध किया गया था, ऑब्जेक्ट सर्वर = "PlugPlayManager", प्रोसेस = Svchost.exe। इस ऑडिट की स्थापना से पहले ये मौजूद नहीं थे।
इसलिए, मुझे पता है कि मैं कुछ चीजों के द्वारा इवेंट लॉग को फ़िल्टर कर सकता हूं, लेकिन टास्क श्रेणी को नहीं, और मुख्य मुद्दा यह है कि मैं बस उन अन्य घटनाओं के बारे में परवाह नहीं करता हूं - मैं केवल एक फ़ाइल, अवधि को संपादित करना चाहता हूं। मैं उन हजारों घटनाओं के बारे में परवाह नहीं करता (और जैसा कि मैं लिखता हूं कि यह अब हजारों में है)। मैं उन "अन्य ऑब्जेक्ट एक्सेस इवेंट्स" को कैसे रोक सकता हूं और केवल ऑडिट फ़ाइल संपादन? धन्यवाद