查看:1588|回复：15
应用说明：
& && & 在企业中，往往接收到以下情况：我的重要文件被删除了，一调查，谁都不承认，
虽然可以通过权限来定位到一小部分可以修改的人的身上，但无凭无据，还是不能说明什
么，还有就是接下来恢复的问题，这文件很重要，需要恢复，
& && &虽然在现在，很多第三方的文件管理软件或者备份软件都可以非常颗粒的监控与恢
复，但毕竟还是要考虑到没有这样设施的环境，以下通过组策略来监控文件的删除，通过
卷影副本来恢复误删除文件，如有建议还请不吝讲解。
一. 通过组策略来审核文件删除记录
1. 组策略开启“审核详细的文件共享”（路径：计算机配置-Windows设置-安全设置-高级审核策略配置-对象访问）
(10.48 KB)
2. 在文件夹上开启审核（路径：文件夹右键-安全-高级-审核-添加）
(13.09 KB)
注：添加需要开启审核的用户或组
二. 配置卷影副本
1. 创建卷影副本（正式环境可以配置计划自动建立）
(12.98 KB)
三. 测试效果
1.使用用户Test14删除一个文件
(20.13 KB)
2. 验证审核记录（在日志上面可以看见用户，这里当时屏有限，没有截下来）
(11.98 KB)
3. 卷影副本还原（客户端与服务器端都可以完成）
a. 打开以前的版本（因只做过一次，只能看见一个）
(12.39 KB)
b. 可以点击进去查看自己需要恢复的文件的时间
c. 复制到其他地方（防止覆盖）
(23.02 KB)
d. 查看已恢复文件
以上，完成两个功能的测试。
组策略审核缺点：日志量大，难于找到自己需要的，如没有环境上第三方的，建立只对非常重要的文件做此审核
卷影副本：可能会有朋友问，卷影副本建立快，恢复又方便，为啥其他的备份系统还那么火？以下简单说明一下
1. 每个卷上最多存放64个卷影副本
2. 卷影副本是只读的，不能编辑卷影副本的内容
3. 你只能针对每个卷启用共享文件夹的卷影副本，也就是说，你不能在卷上选择或不要复制的特定共享文件夹和文件。
4.创建卷影副本不能替代创建常规备份（如物理磁盘问题，可能会造成永久丢失）
更多问题欢迎讨论
高级工程师
写的很好哈，我都很久没用过审计功能来监控文件删除了。楼主比较熟悉powershell 的话 我觉得可以写个脚本，搜索对应的日志ID，对于每一个事件，然后根据他的xml的的内容，一个个枚举信息，找到需要的内容。然后用户只需要运行脚本，就会自动列出什么时间，什么文件被删除或者修改了。
类似的例子，我见过脚本如何从域控上搜索被锁定的AD账户是从哪台计算机上被锁住的，原先手动10分钟的工作，只需要执行程序就自动出来了
引用:原帖由 beanxyz 于
12:01 发表
写的很好哈，我都很久没用过审计功能来监控文件删除了。楼主比较熟悉powershell 的话 我觉得可以写个脚本，搜索对应的日志ID，对于每一个事件，然后根据他的xml的的内容，一个个枚举信息，找到需要的内容。然后用户 ... 感谢您的建议，最近有点忙，后面我会按您的建议更新一下，将此文章补充完成，非常感谢
引用:原帖由 duwei025 于
16:11 发表
应用说明：
& && & 在企业中，往往接收到以下情况：我的重要文件被删除了，一调查，谁都不承认，
虽然可以通过权限来定位到一小部分可以修改的人的身上，但无凭无据，还是不能说明什
么，还有就是接下来恢复的问题，这文件很重要，需要 ... 感谢分享。非常期待LZ的脚步早点写出了！
先占個樓了
初级工程师
这个方法好，可以监控共享文件 情况，但开启这个功能之后是否会对性能有影响呢？
引用:原帖由 a8q9 于
22:44 发表
这个方法好，可以监控共享文件 情况，但开启这个功能之后是否会对性能有影响呢？ 会产生大量的日志，需要手动或自动配置清理方式，所以只是提供一个方法，具体使用得看自己的需求
初级工程师
引用:原帖由 duwei025 于
08:05 发表
会产生大量的日志，需要手动或自动配置清理方式，所以只是提供一个方法，具体使用得看自己的需求 哦哦，就是说定期清理日志对系统性能不会影响太大可以这样理解吗？
高级工程师
期待楼主接下来的 powershell 脚本
引用:原帖由 beanxyz 于
12:01 发表
写的很好哈，我都很久没用过审计功能来监控文件删除了。楼主比较熟悉powershell 的话 我觉得可以写个脚本，搜索对应的日志ID，对于每一个事件，然后根据他的xml的的内容，一个个枚举信息，找到需要的内容。然后用户 ... 希望你能够帮助我下，给点思路或者文档之类的；我现在需要写这个脚本
高级工程师
引用:原帖由 SmallClear 于
17:25 发表
希望你能够帮助我下，给点思路或者文档之类的；我现在需要写这个脚本 参考一下，效率不是太高，比如我在指定的服务器上查询事件为4771的日志，因为我有几万条数据没清理，我只是输出最新的20条数据
$Events = Get-WinEvent -ComputerName syddc01 -FilterHashtable @{Logname=\'Security\';Id=4771} -MaxEvents 20& && && &&&
# Parse out the event message data& && && && &
ForEach ($Event in $Events) {& && && && &
& & # Convert the event to XML& && && && &
& & $eventXML = [xml]$Event.ToXml()& && && && &
& & # Iterate through each one of the XML message properties& && && && &
& & For ($i=0; $i -lt $eventXML.Event.EventData.Data.C $i++) {
& && &&&# Append these as object properties& && && && &
& && &&&Add-Member -InputObject $Event -MemberType NoteProperty -Force -Name&&$eventXML.Event.EventData.Data[$i].name -Value $eventXML.Event.EventData.Data[$i].'#text'& && && && &
& & }& && && && &
}& && && && &
$events | select * | Out-GridView
(270.46 KB)
本帖最后由 beanxyz 于
07:46 编辑
高级工程师
引用:原帖由 beanxyz 于
06:55 发表
参考一下，效率不是太高，比如我在指定的服务器上查询事件为4771的日志，因为我有几万条数据没清理，我只是输出最新的20条数据
$Events = Get-WinEvent -ComputerName syddc01 -FilterHashtable @{Logname=\'Security\';Id= ... 改进了一下，如果要过滤时间范围，需要用xmlfilter来过滤，这个xmlfilter可以通过eventviewer来自动产生
(11.27 KB)
(10.13 KB)
[xml]$xmlFilter = @&
&QueryList&
&&&Query Id=&0& Path=&Application&&
& & &Select Path=&Application&&*[System[(EventID=1002) and TimeCreated[timediff(@SystemTime) &= ]]]&/Select&
&&&/Query&
&/QueryList&
$Events = Get-WinEvent -ComputerName syddc01 -FilterXML $xmlFilter
ForEach ($Event in $Events) {& && && && &
& & # Convert the event to XML& && && && &
& & $eventXML = [xml]$Event.ToXml()& && && && &
& & # Iterate through each one of the XML message properties& && && && &
& & For ($i=0; $i -lt $eventXML.Event.EventData.Data.C $i++) {
& && &&&# Append these as object properties& && && && &
& && &&&Add-Member -InputObject $Event -MemberType NoteProperty -Force -Name&&&App& -Value $eventXML.Event.EventData.Data[5]& && && &&&
& & }& && && && &
$Events | select Message, App, providerName, timecreated | Out-GridView
(71.62 KB)
注意这个例子我是查询的另外一个事件，不同事件的xml结构和内容不同！！你需要自己根据需要调整
本帖最后由 beanxyz 于
12:46 编辑
引用:原帖由 beanxyz 于
12:01 发表
写的很好哈，我都很久没用过审计功能来监控文件删除了。楼主比较熟悉powershell 的话 我觉得可以写个脚本，搜索对应的日志ID，对于每一个事件，然后根据他的xml的的内容，一个个枚举信息，找到需要的内容。然后用户 ... 你有类似的脚本吗？如何从域控上搜索被锁定的AD账户是从哪台计算机上被锁住的
心有多大，舞台就有多大！
引用:原帖由 as900 于
16:15 发表
期待楼主接下来的 powershell 脚本 同求啊
心有多大，舞台就有多大！
高级工程师
引用:原帖由 瞬间与永恒 于
16:40 发表
你有类似的脚本吗？如何从域控上搜索被锁定的AD账户是从哪台计算机上被锁住的
参考 一般是搜索4740或者4771（对应的组策略的审计要打开），我自己的服务器4771的记录太多了，一分钟可能有10多条记录，全部搜索不太现实（慢死），所以我搜索的是4740的记录，这个很快，但是缺点是4740有的时候没有记录对应的IP；如果4740找不到我才会找4771，我的处理方式是找到错误密码的时间或者锁死的时间，然后找他前后2分钟的内的记录，这样速度还能接受
Copyright&
本论坛言论纯属发布者个人意见，不代表51CTO网站立场！如有疑义，请与管理员联系：来自Kroll Ontrack &
全球最好的数据恢复软件
> 如何找回Mac废纸篓已删除的文件
如何找回Mac废纸篓已删除的文件
一般而言，Mac废纸篓中都是已经删除了的文件，当我们想要重新找到某个已删除的文件时，可以很轻松的在Mac废纸篓中将其还原。但是如果你不小心点击 “清空废纸篓”从Finder菜单中的选项，那么所有的文件和文件夹就都删除了。这个时候我们该如何找回Mac废纸篓已删除的文件呢？不用担心，Mac文件恢复软件这个好帮手可以让我们轻松解决问题。
那Mac文件恢复软件是什么呢？它就是备受用户好评的EasyRecovery易恢复，可以解决一系列的数据恢复问题。那？又是如何找回Mac废纸篓中已删除文件的呢？
在了解EasyRecovery使用方法之前，我们首先需要明白一个问题：Mac废纸篓清空，其实删除的并不是文件本身。它只是简单的让操作系统失去了被删除的文件和文件系统的索引之间的指针，删除了文件所占用的空间，而驱动器上的文件则保持完好无损，直到他们被其他文件覆盖。 也就是说在使用EasyRecovery软件之前我们需要停止对Mac的操作，以防将旧文件覆盖，造成无法恢复的损失。
利用EasyRecovery实现Mac废纸篓文件恢复的过程很简单，因为每一步操作向导都会有提示，只需按照提示来即可完成。在官网上下载免费版，安装运行软件，Mac废纸篓文件恢复这里选择将硬盘驱动器作为媒体存储类型进行扫描，接下来选择Mac合适的卷标跟恢复方案，在经过扫描之后，Mac废纸篓的文件可能会有很大一部分被恢复出来，这里教大家一个快速找到想要保存文件的方法。在“保存文件”这一步中，软件的右上角有个搜索栏，通过搜索关键词可以很快找到文件。对了，这里保存文件是需要获取的哦。
如何找回Mac废纸篓已删除的文件相关：
读者也访问这里：
最近更新热门点击
EasyRecovery TM 体验专区
专业恢复：
企业恢复：
个人恢复：
EasyRecovery TM 解决方案查看: 2375|回复: 8
使用卷影副本恢复文件或文件夹(转载)
该用户从未签到
在我们的日常操作中，经常可以遇到类似这样的情况：修改或[wiki]删除[/wiki]了某个文件后才突然发现所做的操作存在问题，损失了某些重要的文件或文件中的某些重要部分，这往往是最令人头痛的，如果之前未进行有计划的文件备份，这类“误操作”带来的损失常常很难挽回。不过，对于使用Windows Vista的Business版本以及Ultimate版本的用户来说，如今有一个简单的处理办法，那便是通过卷影复制功能。
　　Windows Vista的这些版本中集成的卷影复制（shadow copy）功能，可以实现在系统未禁用系统保护的前提下，通过Windows Vista自动创建的还原点保存相应文件的副本，这样，当出现意外修改、删除或文件受损等情况时，让用户可以从保存的副本恢复原始文件。一般而言，Windows系统还原自动创建还原点的频率为每天一次——当然，这也是Windows Vista系统还原功能会占用大量[wiki]硬盘[/wiki]空间的主要原因——以尽可能地减少数据损失。
& & 使用卷影副本恢复文件
　　那么，当发现需要将某个文件恢复到修改前状态时，应如何操作呢？
　　在该文件上单击鼠标右键，选择“属性”；
　　在属性窗口中，点击“以前的版本”标签页——如果不存在这个选项，则需检查是否禁用了系统保护；
　　Windows Vista即会显示对应该文件保存的卷影副本，以修改日期排列，从中选择需要的版本，然后点击“还原”按钮；
1.png (85.35 KB, 下载次数: 0)
15:26 上传
　　这样，该文件即恢复到修改前的状态；
　　使用卷影副本恢复目录（文件夹）
　　那么，如果将该文件删除了同时回收站也已清空无法从回收站恢复呢？同样可按与上述方法类似的步骤进行，因为Windows Vista也会为相应目录（文件夹）创建卷影副本，只需将该文件所在的目录恢复到原始状态，那么，即可找到被删除的文件。
　　在该文件所属目录上单击鼠标右键，选择“属性”；
　　在属性窗口中，点击“以前的版本”标签页；
　　Windows Vista即会显示对应该目录保存的卷影副本，以修改日期排列，从中选择需要的版本，然后点击“还原”按钮；
2.png (112.59 KB, 下载次数: 0)
15:26 上传
　　这样，该目录即恢复到修改前的状态；
　　不过，需要注意的是，对于大多数用户使用的Windows Vista Home版，并不支持卷影复制功能，这点比较遗憾
[ 本帖最后由 na509 于
18:13 编辑 ]
该用户从未签到
xp有这个功能吗?我的配置低,装不了VISTA!
该用户从未签到
大家一定记得Windows XP的系统还原功能吧，但它只能还原本机的文件，对共享文件却无能为力了。随着Windows Server 2003操作系统的推出，这个问题迎刃而解。这个小东东就是Windows Server 2003的卷影副本服务（Volume Shadow Copy Service），它以预定的时间间隔为[wiki]存储[/wiki]在网络共享文件中的文件创建副本文件。一旦共享文件被恶意修改或破坏，用户就能根据这些副本 文件进行还原，是不是很方便，我们一起来用吧!
　　第一步：启用卷影副本服务。在Windows Server 2003系统中。打开“我的电脑”，右键点击共享文件夹所在的硬盘分区，注意，这个分区一定是NTFS文件系统。选择“属性”，然后切换到“卷影副本”标签页，在选项框中选择该硬盘分区，然后点击“启用”按钮即可，这样卷影副本服务就被启用了。
　　第二步：调整创建副本文件时间间隔参数。默认情况下Windows Server 2003卷影副本服务每天只能创建两个副本，这根本不能满足我们的需要。在“卷影副本”标签页中，点击“设置”按钮，然后点击“计划”按钮，最后点击“日程安排”框中 的“高级”按钮，在“高级计划选项”对话框中选中“重复任务”选项（如图） ，就可以对创建副本的时间间隔参数进行设置了。用户根据共享文件的重要程度进行设置。如设置为每“10分钟”产生一次副本，要注意，时间间隔参数不要设置得过小，否则会加重服务器的负担。
& & & & & & & & & & & & & & & &
　　第三步：用户使用卷影副本功能。首先在客户端要安装卷影副本客户端程序，它位于Win2003服务器的“%systemroot%\system32\clients\twclient\x86\ twcli32.msi”中，只支持Windows 2000（SP3 或更高版本）和Windows XP客户操作系统。客户端安装完成后就可以使用卷影副本功能了。在客户机上找到要还原的服务器共享文件夹，右键点击，选择“属性”，切换到“以前的版本”标签页，接着在“文件夹版本”框中根据时间选择一个你需要的副本文件，点击“还原”按钮，这样该文件夹就恢复到原来的状态了。
该用户从未签到
为 Windows Server 2003 备份和还原数据.具体详情请点击链接进入!
游客，如果您要查看本帖隐藏内容请
该用户从未签到
我来看看,支持一下
该用户从未签到
LZ 很有想法呀
TA的每日心情开心 11:22签到天数: 1 天[LV.1]布衣百姓
谢谢分享！
该用户从未签到
学习学习---------
TA的每日心情开心 07:19签到天数: 15 天[LV.4]七品知县
不错的文章，支持一下
硬盘基地推荐 /8
固态硬盘的价格也慢慢降到了大众可以接受的范围 可大多数人对固态硬盘的构造和原理一无所知,接下来 就随我一起揭开固态硬盘的神秘面纱...
更快速的SSD已经是用过都说好。在这场革命中，为了实现更快的速度，硬盘的接口也在不断进化，今天硬盘基地INTOHARD我们就来谈谈硬盘的主流接口都有哪些。
开启AHCI，4K对齐，安装专用驱动，使用原生SATA3.0接口等等，要比传统的HDD复杂一些。不当的使用方法，会极大的影响到SSD的性能跟寿命...
开盘数据恢复是硬盘物理故障数据恢复的一种特殊情况。当硬盘的磁组件的任何一个部件（如磁头、前置放大器、音圈、驱动臂等）损坏...
Flash数据恢复技术视频教程提供U盘无法识别，固态硬盘数据恢复解决方案
PC3000-UDMA/PC3000UDMA-E/PC3000-Express故障解决与教程专题
测试显示SSD硬盘在数据恢复方面遇到了新的挑战，这一问题在支持TRIM指令的固态硬盘上尤为严重,数据不能恢复...
SSD能恢复数据吗？相信很多正在使用SSD固态硬盘的用户都有这么疑问。毕竟大家都有错手删错文件的时候...