EaseFilter File System文件I/O監(jiān)視器

EaseFilter文件I/O監(jiān)視器

EaseFilter文件I/O監(jiān)視器可以實時審計Windows中的文件訪問和更改。使用EaseFilter文件監(jiān)視器，您可以監(jiān)控文件系統(tǒng)級別的文件活動，捕獲文件打開、創(chuàng)建、覆蓋、讀、寫、查詢文件信息、設(shè)置文件信息、查詢安全信息、設(shè)置安全信息、文件重命名、文件刪除、目錄瀏覽和文件關(guān)閉I/O請求。您可以創(chuàng)建文件訪問日志，您將知道誰，何時，訪問了哪些文件。您可以通過跟蹤和監(jiān)控所有用戶和文件的活動、權(quán)限變更、存儲容量，對用戶和數(shù)據(jù)進(jìn)行全面的控制和可見性，并生成實時審計報告。

設(shè)置

要啟動過濾器驅(qū)動程序，首先需要在設(shè)置中添加過濾規(guī)則，然后過濾器驅(qū)動程序?qū)⒅酪芾砟膫€文件。

1.添加過濾規(guī)則

若要管理文件，請?zhí)砑訋в型ㄅ浞陌募Y選器掩碼，如果希望該篩選器掩碼具有例外，則添加排除文件篩選器掩碼，或?qū)⑵湓O(shè)置為空。

可以有多個過濾規(guī)則，每個包含文件過濾掩碼必須是唯一的，每個包含文件過濾掩碼可以有多個排除文件過濾掩碼。

當(dāng)用戶訪問文件時，過濾器驅(qū)動程序?qū)z查過濾規(guī)則，如果文件匹配文件規(guī)則的包含文件過濾掩碼，則檢查該過濾規(guī)則中是否有排除文件過濾掩碼，如果文件匹配排除文件過濾掩碼，則不管理此文件，或者將管理此文件。

2.保護(hù)流程

為了防止進(jìn)程被終止，您可以在這里添加進(jìn)程Id，如果您想取消對它的保護(hù)，可以刪除它。

3.包括流程

如果您只想管理來自特定進(jìn)程的文件，那么在這里添加進(jìn)程Id，或者讓它為空，它將包括所有進(jìn)程。

4.排除過程

如果您不想管理來自特定進(jìn)程的文件，那么在這里添加進(jìn)程Id，或者讓它為空，它不會排除任何進(jìn)程。

5.監(jiān)視I/O請求

選擇要監(jiān)視的I/O請求，這樣當(dāng)過濾器驅(qū)動程序捕獲I/O請求時，控制臺將顯示I/O信息。

6.僅顯示文件更改事件

如果您不想顯示這么多I/O請求，為了快速設(shè)置，您可以只在選擇文件更改事件時顯示文件更改I/O請求。

開始監(jiān)控

啟動監(jiān)視器后，在控制臺中，您將看到如下的I/O信息:

從控制臺中，您可以看到這些信息:

1.時間:I/O操作的事務(wù)時間。

2.用戶名:訪問文件的用戶名，如果是從遠(yuǎn)程服務(wù)器訪問文件，會額外增加“從遠(yuǎn)程服務(wù)器訪問文件”。

3.進(jìn)程名和進(jìn)程Id:訪問文件并發(fā)起該I/O請求的進(jìn)程。

4.threaddid:訪問文件并發(fā)起這個I/O請求的線程。

5.I/O請求名稱:I/O請求的名稱。

6.FileObject:它類似于文件句柄的概念，每個文件打開，系統(tǒng)I/O管理器將生成一個唯一的文件對象，直到文件句柄被關(guān)閉。

6.文件名:與此I/O請求相關(guān)聯(lián)的文件名。

7.文件大小:被訪問文件的文件大小。

8.文件屬性:被訪問文件的文件屬性。

9.“最后一次寫時間”:文件被訪問的最后一次寫時間。

10.返回狀態(tài):返回I/O狀態(tài)，如果返回成功，警告或錯誤代碼，則顯示I/O結(jié)果。

11.描述:描述顯示I/O請求的額外詳細(xì)信息。A.文件被刪除，b.文件被重命名，c.新文件被創(chuàng)建。D.查詢數(shù)據(jù)信息。