Лог доступа к файлам и каталогам Windows

Неожиданно стали “сами по себе удаляться” каталоги и файлы в шаре одного из отделов и возникла необходимость включения аудита доступа (а точнее событий удаления). Делается это следующим образом:

Первым делом отправляемся исследовать локальную политику безопасности на предмет того, является ли политика Audit Object Access активной (Параметры безопасности > Локальные политики > Политики Аудита).

Затем, убедившись в том, что аудит Успех|Отказ включен, отправляемся в интересующую нас директорию и через пункт меню Свойства > Безопасность > Дополнительно > Аудит назначаем интересующих нас пользователей, а в следующем диалоговом окне назначаем интересующие нас действия, подлежащие аудиту и объекты, к которым они применяются.

Запускаем ивент вьювер и делаем танец победителя.