Журнал событий показывает, когда файл хостов Windows был изменен?

1795
Chris Houston

Похоже, что кто-то подделал файл hosts на клиентском сервере (на его сервере размещено несколько сайтов, которые управляются разными пользователями)

Сегодня одна из наших служб перестала работать, так как файл хоста был изменен, теперь мы исправили файл хоста, но я хотел бы знать, есть ли способ узнать, когда файл был изменен в последний раз? Так как это позволило бы нам точно определить, какие пользователи вошли в систему в то время, и, надеюсь, определиться, кто внес изменения!

Спасибо всем :)

1
Свойства файла NTFS не показывают дату последнего изменения? Shinrai 14 лет назад 0

2 ответа на вопрос

2
grawity

Вы можете внести изменения в журнал безопасности, если включите аудит на листе свойств безопасности hosts(скрыто под кнопкой «Дополнительно»).

Однако, это не будет работать задним числом. Так что это не ответ на ваш вопрос.

1
Joel Coehoorn

Это не в журнале событий. Но, как упоминалось в комментарии, вы можете увидеть время последнего изменения в проводнике Windows или свойствах файла.

... ** но **, поскольку вы уже исправили файл, дата последнего изменения теперь неверна для вашего расследования. Chris Nava 14 лет назад 1
Они могут все еще увидеть изменения в резервной ленте. Joel Coehoorn 14 лет назад 0
Но Крис прав. Я даже не думал об этом: / Shinrai 14 лет назад 0