Identificar evento de borrado de objeto despues de activar auditoría.

15/06/2012 - 12:27 por mamp-vig | Informe spam
¡ Hola !

Buenos días. Estoy al cargo de una red con un servidor WSERVER 2008 R2. Hace de DC y de servidor de ficheros.

El tema es que un usuario desconocido está borrando determinada carpeta cada X tiempo por lo que he habilitado la auditoría de objetos en esa carpeta.

He localizado este evento entre otros despues de uno de sus borrados pero no estoy seguro que sea el evento de eliminación adecuado.

Alguien me podría confirmar o ayudar para saber si es asi?

Esta es la información del evento. Lo que necesito es asegurarme si este evento conffirma que ese usuario ha borrado esa carpeta.
-------------------------------

Nombre de registro:Security
Origen: Microsoft-Windows-Security-Auditing
Fecha: 14/06/2012 16:34:15
Id. del evento:4656
Categoría de la tarea:Sistema de archivos
Nivel: Información
Palabras clave:Auditoría correcta
Usuario: No disponible
Equipo: SERVIDOR.Cefrico.local
Descripción:
Se solicitó un identificador para un objeto.

Sujeto:
Id. de seguridad: CEFRICO\pmascato
Nombre de cuenta: pmascato
Dominio de cuenta: CEFRICO
Id. de inicio de sesión: 0xb51eb5e

Objeto:
Servidor del objeto: Security
Tipo de objeto: File
Nombre del objeto: D:\DATOS\Documentos\Produccion\Produccion
Id. de identificador: 0xc78

Información de proceso:
Id. de proceso: 0x4
Nombre de proceso:

Información de solicitud de acceso:
Id. de transacción: {00000000-0000-0000-0000-000000000000}
Accesos: DELETE
SYNCHRONIZE
ReadAttributes

Máscara de acceso: 0x110080
Privilegios usados para comprobación de acceso: -
Recuento de SID restringidos: 0
---------------------------------------------------

Preguntas similare

Leer las respuestas

Search Busqueda sugerida