記錄Windows下文件操作記錄

在Windows下，有時會遇到有些文件或者文件夾丟失的問題，不知道是誰，什麼時候，哪個程序把文件或者文件夾刪除。特別是開發者遇到自己用於存儲的文件丟失，不知是自己程序導致還是其他程序或者病毒導致。此時采用下面的方法，可以使用Windows日志，記錄文件或者文件夾的操作記錄。
 
 
一設置通過啟用文件夾的審核和審核策略就能夠記錄相應的日志，具體步驟如下：
1.      確保盤的格式為NTFS。
選擇磁盤（如C盤），右擊屬性，如圖：
 
 
 
 
 
2.      右擊想要監測的文件夾（如C:UsersG.WardDesktopTest），點擊安全>>高級，
在“審核”選項卡下，點擊“添加”，加入Everyone，並且對“刪除子文件夾及文件”和“刪除”的成功和失敗都啟用審核

 
3.      開始>>運行>>gpedit.msc，計算機配置-Windows設置安全設置-本地策略審核  策略-審核對象訪問，中啟用成功和失敗
4. 如果刪除了文件或者文件夾，系統日志查看器裏面會有相應的記錄。
二查看刪除日志
右擊計算機>>管理>>系統工具>>事件查看器>>Windows日志>>安全，點擊查找，輸入文件或文件夾名（如qwe.txt），即可查看到關於文件或者文件夾（如qwe.txt）的操作記錄，如下圖
 
 
 
雙擊查看該條信息，如圖：