EaseFilter文件I/O監(jiān)視器

EaseFilter文件I/O監(jiān)視器可以實(shí)時(shí)審計(jì)Windows中的文件訪問(wèn)和更改。使用EaseFilter文件監(jiān)視器，您可以監(jiān)控文件系統(tǒng)級(jí)別的文件活動(dòng)，捕獲文件打開(kāi)、創(chuàng)建、覆蓋、讀、寫(xiě)、查詢(xún)文件信息、設(shè)置文件信息、查詢(xún)安全信息、設(shè)置安全信息、文件重命名、文件刪除、目錄瀏覽和文件關(guān)閉I/O請(qǐng)求。您可以創(chuàng)建文件訪問(wèn)日志，您將知道誰(shuí)，何時(shí)，訪問(wèn)了哪些文件。您可以通過(guò)跟蹤和監(jiān)控所有用戶和文件的活動(dòng)、權(quán)限變更、存儲(chǔ)容量，對(duì)用戶和數(shù)據(jù)進(jìn)行全面的控制和可見(jiàn)性，并生成實(shí)時(shí)審計(jì)報(bào)告。

設(shè)置

要啟動(dòng)過(guò)濾器驅(qū)動(dòng)程序，首先需要在設(shè)置中添加過(guò)濾規(guī)則，然后過(guò)濾器驅(qū)動(dòng)程序?qū)⒅酪芾砟膫€(gè)文件。

1.添加過(guò)濾規(guī)則

若要管理文件，請(qǐng)?zhí)砑訋в型ㄅ浞陌募Y選器掩碼，如果希望該篩選器掩碼具有例外，則添加排除文件篩選器掩碼，或?qū)⑵湓O(shè)置為空。

可以有多個(gè)過(guò)濾規(guī)則，每個(gè)包含文件過(guò)濾掩碼必須是唯一的，每個(gè)包含文件過(guò)濾掩碼可以有多個(gè)排除文件過(guò)濾掩碼。

當(dāng)用戶訪問(wèn)文件時(shí)，過(guò)濾器驅(qū)動(dòng)程序?qū)z查過(guò)濾規(guī)則，如果文件匹配文件規(guī)則的包含文件過(guò)濾掩碼，則檢查該過(guò)濾規(guī)則中是否有排除文件過(guò)濾掩碼，如果文件匹配排除文件過(guò)濾掩碼，則不管理此文件，或者將管理此文件。

2.保護(hù)流程

為了防止進(jìn)程被終止，您可以在這里添加進(jìn)程Id，如果您想取消對(duì)它的保護(hù)，可以刪除它。

3.包括流程

如果您只想管理來(lái)自特定進(jìn)程的文件，那么在這里添加進(jìn)程Id，或者讓它為空，它將包括所有進(jìn)程。

4.排除過(guò)程

如果您不想管理來(lái)自特定進(jìn)程的文件，那么在這里添加進(jìn)程Id，或者讓它為空，它不會(huì)排除任何進(jìn)程。

5.監(jiān)視I/O請(qǐng)求

選擇要監(jiān)視的I/O請(qǐng)求，這樣當(dāng)過(guò)濾器驅(qū)動(dòng)程序捕獲I/O請(qǐng)求時(shí)，控制臺(tái)將顯示I/O信息。

6.僅顯示文件更改事件

如果您不想顯示這么多I/O請(qǐng)求，為了快速設(shè)置，您可以只在選擇文件更改事件時(shí)顯示文件更改I/O請(qǐng)求。

開(kāi)始監(jiān)控

啟動(dòng)監(jiān)視器后，在控制臺(tái)中，您將看到如下的I/O信息:

從控制臺(tái)中，您可以看到這些信息:

1.時(shí)間:I/O操作的事務(wù)時(shí)間。

2.用戶名:訪問(wèn)文件的用戶名，如果是從遠(yuǎn)程服務(wù)器訪問(wèn)文件，會(huì)額外增加“從遠(yuǎn)程服務(wù)器訪問(wèn)文件”。

3.進(jìn)程名和進(jìn)程Id:訪問(wèn)文件并發(fā)起該I/O請(qǐng)求的進(jìn)程。

4.threaddid:訪問(wèn)文件并發(fā)起這個(gè)I/O請(qǐng)求的線程。

5.I/O請(qǐng)求名稱(chēng):I/O請(qǐng)求的名稱(chēng)。

6.FileObject:它類(lèi)似于文件句柄的概念，每個(gè)文件打開(kāi)，系統(tǒng)I/O管理器將生成一個(gè)唯一的文件對(duì)象，直到文件句柄被關(guān)閉。

6.文件名:與此I/O請(qǐng)求相關(guān)聯(lián)的文件名。

7.文件大小:被訪問(wèn)文件的文件大小。

8.文件屬性:被訪問(wèn)文件的文件屬性。

9.“最后一次寫(xiě)時(shí)間”:文件被訪問(wèn)的最后一次寫(xiě)時(shí)間。

10.返回狀態(tài):返回I/O狀態(tài)，如果返回成功，警告或錯(cuò)誤代碼，則顯示I/O結(jié)果。

11.描述:描述顯示I/O請(qǐng)求的額外詳細(xì)信息。A.文件被刪除，b.文件被重命名，c.新文件被創(chuàng)建。D.查詢(xún)數(shù)據(jù)信息。