如何确定谁更改了文件？

Question

在 Windows 中，如何以编程方式确定最后更改或删除文件的用户帐户？

我知道设置对象访问审核可能是一个选项，但如果我使用它，我就会遇到尝试将审核日志条目与特定文件匹配的问题......听起来复杂而混乱！ 我想不出任何其他方法，那么有人对这种方法或任何替代方法有任何提示吗？

Answer 1

您可以将问题分为两部分：

1. 每当访问文件时写入日志。
2. 解析、过滤并呈现日志的相关信息。

正如您提到的，在这两个部分 1 中，写入日志是通过审核的内置功能。 重新发明它会很困难，而且可能永远不会像内置功能那样好。

我将通过在这些文件上设置审核 ACL 来使用内置功能进行日志记录。 然后，我将集中精力提供一个良好的界面，该界面可以读取事件日志、过滤出相关事件并以适合用户且相关的方式呈现它们。

Answer 2

您始终可以创建文件系统过滤器。 这可能有点矫枉过正，但这取决于您的目的。 您可以让它在启动时加载，并且它几乎位于每个文件访问的后面（病毒扫描程序通常使用它来扫描访问的文件）。

只需记录正在写入文件的应用程序的“所有者”即可。

另请参阅 MSDN 文档

Answer 3

据我所知，执行此操作的唯一方法是设置 FileSystemWatcher 并保持其运行。 哦，如果是通过网络驱动器，它可能会随机失去连接，因此最好每隔几个小时强制断开/重新连接一次，以确保它具有新的连接。