记录一些文件操作的日志查询
删除文件
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4663)]]
and *[EventData[Data[@Name='AccessMask'] and (Data='0x10000')]]</Select>
</Query>
</QueryList>
AccessMask 值
值 | ||
1 (0x1) | FILE_READ_DATA | 授予从文件读取数据的权限。 |
1 (0x1) | FILE_LIST_DIRECTORY | 授予从文件读取数据的权限。 对于目录,此值授予列出目录内容的权限。 |
2 (0x2) | FILE_WRITE_DATA | 授予将数据写入文件的权限。 |
2 (0x2) | FILE_ADD_FILE | 授予将数据写入文件的权限。 对于目录,此值授予在目录中创建文件的权限 |
4 (0x4) | FILE_APPEND_DATA | 授予将数据追加到文件的权限。 对于目录,此值授予创建子目录的权限。 |
4 (0x4) | FILE_ADD_SUBDIRECTORY | 授予将数据追加到文件的权限。 对于目录,此值授予创建子目录的权限。 |
8 (0x8) | FILE_READ_EA | 授予读取扩展属性的权限。 |
16 (0x10) | FILE_WRITE_EA | 授予写入扩展属性的权限。 |
32 (0x20)0 | FILE_EXECUTE | 授予执行文件的权限。 |
32 (0x20) | FILE_TRAVERSE | 授予执行文件的权限。 对于目录,可以遍历该目录。 |
64 (0x40) | FILE_DELETE_CHILD | 授予删除目录及其包含的所有文件(其子级)的权限,即使这些文件是只读的。 |
128 (0x80) | FILE_READ_ATTRIBUTES | 授予读取文件属性的权限。 |
256 (0x100) | FILE_WRITE_ATTRIBUTES | 授予更改文件属性的权限。 |
65536 (0x10000) | DELETE | 授予删除对象的权限。 |
131072 (0x20000) | READ_CONTROL | 授予读取对象安全描述符中的信息(不包括 SACL 中的信息)的权限。 |
262144 (0x40000) | WRITE_DAC | 授予修改对象安全描述符中的 DACL 的权限。 |
524288 (0x80000) | WRITE_OWNER | 授予更改对象安全描述符中的所有者的权限。 |
1048576 (0x100000) | SYNCHRONIZE | 授予将对象用于同步的权限。 这使进程能够等到对象进入信令状态。 某些对象类型不支持此访问权限。 |
文章评论