- Naviguez jusqu'au partage de fichiers, faites un clic droit et sélectionnez " Properties " Sélectionnez l'onglet " Security " → Bouton " Advanced " → Onglet " Auditing " → Cliquez sur le bouton " Add " :
- Sélectionnez Principal : "Everyone" ; Sélectionnez Type : "All" ; Sélectionner s'applique à : "Ce dossier, sous-dossiers et fichiers" ; Sélectionnez les "Autorisations avancées" suivantes : "Delete subfolders and files" et "Delete".
- Exécutez gpedit.msc, créez et éditez le nouveau GPO → Configuration de l'ordinateur → Politiques → Paramètres de Windows → Paramètres de sécurité → Allez à Politiques locales → Politique d'audit :
- Accès aux objets d'audit → Définir → Succès et échecs.
- Allez à "Advanced Audit Policy Configuration" → Audit Policies → Object Access :
- Audit File System → Define → Success and Failures
- Audit Handle Manipulation → Define → Success and Failures.
- Reliez le nouveau GPO au serveur de fichiers et forcez la mise à jour de la politique de groupe.
- Ouvrez le journal de sécurité pour l'ID d'événement 4656 avec la catégorie de tâches "File System" ou "removable storage" avec le string "Accesses : DELETE". "Subject: Security ID" vous indiquera qui a supprimé un fichier.
Exemple de rapport :
- Exécutez Netwrix Auditor → Cliquez sur "Reports" → Naviguez jusqu'à "File Servers" → Ouvrez le dossier "File Servers Activity" → Sélectionnez "Files and Folders Deleted" → Cliquez sur "View".
- Abonnez-vous à ce rapport et recevez-le par courriel ou faites-le livrer dans un dossier partagé spécifique selon l'échéancier que vous aurez fixé :
- Cliquez sur "subscribe" → Choisissez le format de livraison (PDF, Excel, CSV, Word), les destinataires et l'échéancier de livraison (journalier, hebdomadaire, mensuel) → Cliquez sur "Save".