Windows 2008 Server FilesOs eventos de segurança

www.professorramos.comwww.aulaead.com

O Windows Server 2008 alterou a numeração dos EventID em relação ao Windows Server 2003, mas os eventos de auditoria de file system permanecem com as mesmas funções. Geralmente são 3 eventos que ocorrem a cada operação requisitada, seja de leitura, modificação ou deleção

Os eventos de segurança

Registra o início de uma requisição de acesso ao arquivo. Não indica que a permissão de acesso foi dada, mas apenas registro da sua abertura. Esse evento pode ocorrer e o usuário não ter ter o acesso concedido.

Event ID 4656 - A handle to an object was requested. (560 no W2K3)

Este evento ocorre entre os eventos 4656 e o 4658 que abrem e fecham um handle. Esse evento documenta qual permissão efetiva foi dada ao usuário. Esse evento é o mais importante para os relatórios de auditoria de file system.

Event ID 4663 - An attempt was made to access an object. (567 no W2K3)

O HandleID identifica e correlaciona os eventos subsequentes, Na ordem 4656, 4663 e 4658. O tempo total em que um objeto fica aberto pode ser encontrado pela diferença de tempo entre os eventos 4656 e o 4658 com o mesmo HandleID. Esse evento fecha o pedido do handle e define que a operação já foi executada.

Event ID 4658 - The handle to an object was closed. (562 no W2K3)