Vous devez configurer quelques paramètres dans la stratégie de groupe locale et sur les paramètres de dossier particuliers. Veuillez suivre les étapes ci-dessous pour suivre les fichiers supprimés. Il peut vous apporter des informations telles que l'horodatage lors de la suppression du fichier et le compte d'utilisateur qui a supprimé le fichier.
Exécutez> gpedit.msc> Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit -> Accès aux objets d'audit> activez l'audit "Réussite". Ouvrez maintenant une invite de commande et exécutez la commande "gpupdate / force" afin de prendre l'effet des paramètres de stratégie de groupe.
Une fois l’objet de stratégie de groupe en place, accédez au dossier que vous souhaitez surveiller, cliquez avec le bouton droit de la souris et accédez à Propriétés: cliquez sur l’onglet Sécurité> Avancé> Onglet Audit> Modifier> Ajouter> puis ajoutez le groupe ayant accès à ce dossier> Sélectionner " Supprimer les dossiers et les fichiers de sous-dossiers "et" Supprimer ", puis cliquez sur OK -> Sélectionnez Remplacer toutes les entrées d'audit héritables existantes pour appliquer l'audit à" Tous les sous-dossiers et fichiers ", puis cliquez sur OK.
Maintenant, supprimez un fichier de test et filtrez les ID d'événement 4660 et 4663 avec le mot clé 'DELETE' pour vous permettre de connaître davantage de détails.
J'espère que cela t'aides.
