EaseFilter文件I/O監(jiān)視器

EaseFilter文件I/O監(jiān)視器可以實(shí)時(shí)審計(jì)Windows中的文件訪問和更改。使用EaseFilter文件監(jiān)視器，您可以監(jiān)控文件系統(tǒng)級(jí)別的文件活動(dòng)，捕獲文件打開、創(chuàng)建、覆蓋、讀、寫、查詢文件信息、設(shè)置文件信息、查詢安全信息、設(shè)置安全信息、文件重命名、文件刪除、目錄瀏覽和文件關(guān)閉I/O請(qǐng)求。您可以創(chuàng)建文件訪問日志，您將知道誰，何時(shí)，訪問了哪些文件。您可以通過跟蹤和監(jiān)控所有用戶和文件的活動(dòng)、權(quán)限變更、存儲(chǔ)容量，對(duì)用戶和數(shù)據(jù)進(jìn)行全面的控制和可見性，并生成實(shí)時(shí)審計(jì)報(bào)告。

設(shè)置

要啟動(dòng)過濾器驅(qū)動(dòng)程序，首先需要在設(shè)置中添加過濾規(guī)則，然后過濾器驅(qū)動(dòng)程序?qū)⒅酪芾砟膫€(gè)文件。

1.添加過濾規(guī)則

若要管理文件，請(qǐng)?zhí)砑訋в型ㄅ浞陌募Y選器掩碼，如果希望該篩選器掩碼具有例外，則添加排除文件篩選器掩碼，或?qū)⑵湓O(shè)置為空。

可以有多個(gè)過濾規(guī)則，每個(gè)包含文件過濾掩碼必須是唯一的，每個(gè)包含文件過濾掩碼可以有多個(gè)排除文件過濾掩碼。

當(dāng)用戶訪問文件時(shí)，過濾器驅(qū)動(dòng)程序?qū)z查過濾規(guī)則，如果文件匹配文件規(guī)則的包含文件過濾掩碼，則檢查該過濾規(guī)則中是否有排除文件過濾掩碼，如果文件匹配排除文件過濾掩碼，則不管理此文件，或者將管理此文件。

2.保護(hù)流程

為了防止進(jìn)程被終止，您可以在這里添加進(jìn)程Id，如果您想取消對(duì)它的保護(hù)，可以刪除它。

3.包括流程

如果您只想管理來自特定進(jìn)程的文件，那么在這里添加進(jìn)程Id，或者讓它為空，它將包括所有進(jìn)程。

4.排除過程

如果您不想管理來自特定進(jìn)程的文件，那么在這里添加進(jìn)程Id，或者讓它為空，它不會(huì)排除任何進(jìn)程。

5.監(jiān)視I/O請(qǐng)求

選擇要監(jiān)視的I/O請(qǐng)求，這樣當(dāng)過濾器驅(qū)動(dòng)程序捕獲I/O請(qǐng)求時(shí)，控制臺(tái)將顯示I/O信息。

6.僅顯示文件更改事件

如果您不想顯示這么多I/O請(qǐng)求，為了快速設(shè)置，您可以只在選擇文件更改事件時(shí)顯示文件更改I/O請(qǐng)求。

開始監(jiān)控

啟動(dòng)監(jiān)視器后，在控制臺(tái)中，您將看到如下的I/O信息:

從控制臺(tái)中，您可以看到這些信息:

1.時(shí)間:I/O操作的事務(wù)時(shí)間。

2.用戶名:訪問文件的用戶名，如果是從遠(yuǎn)程服務(wù)器訪問文件，會(huì)額外增加“從遠(yuǎn)程服務(wù)器訪問文件”。

3.進(jìn)程名和進(jìn)程Id:訪問文件并發(fā)起該I/O請(qǐng)求的進(jìn)程。

4.threaddid:訪問文件并發(fā)起這個(gè)I/O請(qǐng)求的線程。

5.I/O請(qǐng)求名稱:I/O請(qǐng)求的名稱。

6.FileObject:它類似于文件句柄的概念，每個(gè)文件打開，系統(tǒng)I/O管理器將生成一個(gè)唯一的文件對(duì)象，直到文件句柄被關(guān)閉。

6.文件名:與此I/O請(qǐng)求相關(guān)聯(lián)的文件名。

7.文件大小:被訪問文件的文件大小。

8.文件屬性:被訪問文件的文件屬性。

9.“最后一次寫時(shí)間”:文件被訪問的最后一次寫時(shí)間。

10.返回狀態(tài):返回I/O狀態(tài)，如果返回成功，警告或錯(cuò)誤代碼，則顯示I/O結(jié)果。

11.描述:描述顯示I/O請(qǐng)求的額外詳細(xì)信息。A.文件被刪除，b.文件被重命名，c.新文件被創(chuàng)建。D.查詢數(shù)據(jù)信息。