Hur övervakar man en mapp för ändringar?
Oavsett om det handlar om konfidentiell kundinformation eller konfigurationsfiler för kritiska resurser, hjälper ändringsövervakning till att upprätthålla dataintegriteten. Många verktyg, inklusive inbyggda Windows PowerShell, kan hjälpa dig att övervaka mappändringar. Det är dock inte lätt att komma på skript och utföra den här uppgiften utan problem. Ett enkelt sätt att övervaka ändringar i filer och mappar är genom AD-granskningslösning som ADAudit Plus.
Nedan följer en jämförelse mellan övervakning av en mapp för filändringar med Windows PowerShell och ADAudit Plus:
Windows PowerShell
Steg för hur man övervakar en mapp för filändringar med hjälp av PowerShell:
- Klassen .Net FileSystemWatcher kan användas för att övervaka ändringar i filer och mappar. Filändringar kan vara händelser som skapade, ändrade, flyttade, omdöpta och raderade. Skriptet nedan används för tre av händelserna (skapad, raderad och ändrad)
$folder = 'c:\powershell\test' $filter = '*.*' $fsw = New-Object IO.FileSystemWatcher $folder, $filter -Property @{IncludeSubdirectories = $true;NotifyFilter = [IO.NotifyFilters]'FileName, LastWrite'} - Med hjälp av skriptet nedan kan man registrera valfri eller samtliga händelser beroende på behov.Klicka för att kopiera hela skriptet
Register-ObjectEvent $fsw Created -SourceIdentifier FileCreated -Action { $name = $Event.SourceEventArgs.Name $changeType = $Event.SourceEventArgs.ChangeType $timeStamp = $Event.TimeGenerated Write-Host "The file '$name' was $changeType at $timeStamp" -fore green Out-File -FilePath c:\scripts\filechange\outlog.txt -Append -InputObject "The file '$name' was $changeType at $timeStamp"} Register-ObjectEvent $fsw Deleted -SourceIdentifier FileDeleted -Action { $name = $Event.SourceEventArgs.Name $changeType = $Event.SourceEventArgs.ChangeType $timeStamp = $Event.TimeGenerated Write-Host "The file '$name' was $changeType at $timeStamp" -fore red Out-File -FilePath c:\scripts\filechange\outlog.txt -Append -InputObject "The file '$name' was $changeType at $timeStamp"} Register-ObjectEvent $fsw Changed -SourceIdentifier FileChanged -Action { $name = $Event.SourceEventArgs.Name $changeType = $Event.SourceEventArgs.ChangeType $timeStamp = $Event.TimeGenerated Write-Host "The file '$name' was $changeType at $timeStamp" -fore white Out-File -FilePath c:\scripts\filechange\outlog.csv -Append -InputObject "The file '$name' was $changeType at $timeStamp"}Kopierad - Rapporten genereras i det format (CSV, HTML, XLS, PDF) som anges i skriptet. I det ovan nämnda skriptet genereras t.ex. rapporten i CSV-format.
ADAudit Plus
Steg för att övervaka en fil-/mappändring med hjälp av ADAudit Plus:
- Logga in på ADAudit Plus → Gå till fliken Filgranskning → Under avsnittet Filgranskningsrapporter i den vänstra panelen → Klicka på Ändringsrapporter för alla filer eller mappar.
Informationen du hittar i denna rapport är:
- Namn på ändrad fil/mapp
- Användaren som gjorde ändringen
- Användaren som gjorde ändringen
- Plats för filen/mappen
- Välj Exportera som för att exportera rapporten i något av de föredragna formaten (CSV, PDF, HTML, CSVDE och XLSX).
Följande är begränsningarna med att använda Windows PowerShell för att övervaka en mapp för ändringar:
- Vi kan endast köra detta skript från datorerna som har rollen Domäntjänster i Active Directory.
- Skriptet behöver modifieras om du önskar att ändra datumformaten.
- Delar av skriptet kommer att behöva ändras om du önskar att exportera skriptet i ett annat format.
- Att använda fler filter kommer att skapa mer komplexitet i skriptet.
Men med ADAudit Plus kommer du snabbt att generera rapporter genom att skanna alla DC:er och dessa rapporter kan exporteras i flera format.
Relaterade resurser
Inloggning och utloggning
- Hur man får den aktuella inloggade användaren på PowerShell
- Så här hittar du vilken dator en användare är inloggad på
- Hur man på distans kan se vilka användare som är inloggade i Windows
- Så här får du den aktuella inloggade användaren
- Hur man får användarinloggningshistorik med PowerShell
- Hämta inloggningar för Terminal Server
- Få en granskningsrapport om inloggnings- och utloggningsaktiviteter för AD-användarkonton
- Hur man får misslyckade inloggningsförsök med hjälp av powershell
- Hämta-rdusersession
- Hur man får den senast inloggade användarens fjärrdator med powershell
- Hur man hittar datorn som en användare loggade in på med hjälp av powershell
- Hur man får den senaste inloggningen av användaren med powershell
- Så här distribuerar du fjärrskrivbordstjänster med hjälp av Powershell
Spärrade konton
Händelseloggar för Windows
Granskning av filserver
- Så här övervakar du en Windows-mapp efter nya filer
- Hur man övervakar mappen för ändringar med hjälp av powershell
- Så här kontrollerar du mappbehörigheter med hjälp av powershell
- Powershell Filesystemwatcher - Spåra ändringar i filer och mappar
- NTFSSäkerhetsmodul powershell
- Hämta-filintegritet
- Hur man granskar failover-kluster med hjälp av powershell
- Hur man får filskapningsdatum med hjälp av powershell
- Hur man får den senast ändrade filen i katalogen med hjälp av powershell
- Powershell-skript för att hitta filer efter ägare
Granskning av Active Directory
- Hur man hittar vem som skapade ett AD-konto med hjälp av powershell
- Hur man granskar Active Directory med hjälp av powershell
- Hämta Active Directory-rapporter med hjälp av powershell
- Hur man hittar vem som raderade ett AD-objekt med hjälp av powershell
- Hur man kontrollerar Active Directory-hälsan med hjälp av powershell
- Hur man får privilegierat konto med hjälp av powershell
- Hämta GPO-rapporter utan powershell
- Hur man granskar LAPS-lösenord med hjälp av powershell
- Hur man får adfs-egenskaper med hjälp av powershell -ADAudit Plus
- Hur man granskar ändringar i Active Directory med hjälp av Powershell
- Hur man övervakar realtidsprocessen med hjälp av powershell
Azure AD
Server auditing
Computer start-ups and shut-downs