Это this question.Вывести любую информацию о конкретной машине из журнала аудита Windows?
Я следовал принятому ответу и думал, что доволен результатами, но столкнулся с блокпостом.
установка параметров
Я бег моей программы C# от сервера, который отслеживает каталог. Каждый раз, когда файл изменяется, FileSystemWatcher запускает событие, которое заставляет программу проверять журналы аудита безопасности (которые были включены, см. Решение предыдущего вопроса).
Проблема
Моя проблема заключается в том, что когда я проверяю журналы безопасности после того, как удаленный пользователь модифицирует файл, они вошли как анонимный пользователь. В частности, «NT AUTHORITY \ SYSTEM». Есть ли способ извлечь уникальную информацию из этих журналов безопасности, которые помогут мне дифференцировать пользователей, изменяющих файлы?
В Deets
Я использую EventLog
читать журналы безопасности, как это:
EventLog log = new EventLog("security");
EventLogEntryCollection col = log.Entries;
//...
string username = entry.UserName;
Дайте мне знать, если вам нужна дополнительная информация. –
Вы пытались посмотреть записи аудита, чтобы узнать, какая информация включена в них? –
У меня есть. единственная релевантная информация, которую я могу различить, - это «Идентификатор входа в систему», но поле, похоже, никогда не заполняется. –