Источник: Windows Response Blog Копирование файлов
Время от времени я вижу вопрос "где Windows хранит журналы файлов, скопированных на флэш-накопитель или CD / DVD?" Недавно я увидел этот вопрос в нескольких списках, а также по электронной почте прямо в мой почтовый ящик. ;-) Поэтому я подумал, что было бы неплохо решить эту проблему здесь, и, возможно, получить комментарии от других относительно того, как они могут решить эту ситуацию.
Как правило, Windows не ведет запись или журнал файлов, которые копируются. Независимо от того, используете ли вы командную строку «copy» или «drag-n-drop», в системах Windows просто нет записи, показывающей: «На эту дату пользователь X скопировал этот файл отсюда сюда». Используя что-то вроде WMI, кто-то наверняка мог бы написать монитор файловой системы, который искал и сопоставлял обращения к файлам с созданными файлами ... но это может быть сложно, так как вам нужно будет также предупреждать о подключаемых к системе съемных устройствах хранения, а затем включить тех, кто в вашей схеме мониторинга. Однако эта модель не будет учитывать случаи, когда пользователь открыл файл, скажем, в MS Word, а затем выбрал «Сохранить как ...» в меню «Файл» и сохранил файл в другом месте.