软件说明
System Change Log
低开销的Windows服务跟踪文件删除、重命名和更改,保存日志,以便管理员可以看到更改内容和更改时间。补充Windows的内置系统审核。
产品概述
System Change Log将监视您的磁盘的更改,并记录与常规Windows事件日志分开的文件活动的详细日志。System Change Log允许轻松安全地审查关键文件的更改,而无需通过标准系统审核生成的无关和隐蔽的Event Viewer审核记录。
System Change Log允许轻松安全地审查关键文件的更改,而无需通过标准系统审核生成的无关和隐蔽的Event Viewer审核记录。
System Change Log使用或不使用Windows的审核功能,该功能可以记录文件和文件夹创建、删除、修改、重命名和安全描述符更改。如果启用标准审核,System Change Log也可以报告进行更改的人员的用户帐户(请参阅下面的“跟踪用户信息”选项中的信息)。
系统更改日志控制面板小程序可让您轻松配置SCL活动的所有方面,包括要监视哪些类型的事件。不用使用Explorer或其他工具将各个审计属性应用到所需的磁盘或目录,就可以让您一目了然并且控制您的系统正在监控什么!
System Change Log保存为标准文本格式,可以方便地归档或导入其他程序,如自定义数据库或分析电子表格进行。无需手动导出日志提取,或担心在不同版本的Windows上读取不兼容的Event Viewer日志格式。
产品特点
在32位&64位Windows XP,2003,Vista,2008和Windows 7上运行
轻松监控NTFS文件系统的更改。知道哪些内容发生了什么变化,以及是谁做了这些改变。
只记录你想要的安全信息,而不需要通过数百个不需要的审核事件来处理。
报告用户帐号或程序进行更改!
保留您选择的详细、易于阅读的日志(文本、CSV、Windows Event 、Syslog)!
自动调整Windows文件审核设置,而无需浏览Local Security或Active Directory策略 。
文档
System Change Log作为后台系统服务运行。您可以使用System Change Log控制面板小程序配置服务选项(单击控制面板中的图标)。
注意:如果系统启用了用户帐户控制(UAC),则可能需要右键右击“控制面板”中的“系统更改日志”图标,然后选择“以管理员身份运行”打开该小程序。
注意:在单击Apply按钮之前,您对小程序所做的更改将不会生效。
受监视路径
单击Add按钮将特定路径或驱动器添加到受监视路径列表。单击Remove按钮删除突出显示的路径或驱动器。
选择文件夹时,始终包含子目录,因此C:的条目意味着您的整个C:驱动器。
重要:您应该只监视需要信息的驱动器和路径。监控所有驱动器上的所有活动可能会减慢系统速度,并填满日志文件。调整此框中的条目以符合您的实际监控要求。
跟踪选项
如果选中,System Change log将记录以下事件的日志条目:
跟踪文件创建:
跟踪文件删除:
T跟踪文件更改:
跟踪文件重命名:
跟踪文件属性更改:
跟踪NTFS 串流更改:
跟踪安全更改:
跟踪用户信息:
单击此按钮以显示审核对话框:
由于Windows内部处理文件活动的方式,如果为受监控的路径启用Windows文件/文件夹安全审核的成功报告功能,System Change Log只能报告进行更改的用户帐户或程序的名称。
幸运的是,System Change Log可以您实现正确的审核。此对话框显示成功跟踪用户信息所需的三个任务的当前状态。如果任何项设置不正确,请单击Fix按钮进行修复。
注意:如果向Monitored Path列表添加新路径,则需要修复特定文件和文件夹审核…项,以确保新路径已正确启用。
接下来,单击Files选项卡以显示Includes和 Excludes对话框:
包含文件
如果要通过文件类型(扩展名)而非监视所监视路径中的所有文件的默认值来监视文件,请使用此功能。
排除的路径和文件
列出您希望System Change Log忽略的路径或文件,每行一个。您可以使用通配符(星号和问号)以及系统变量(例如,%systemroot%或%windir%)。
与DOS通配符不同,您可以根据规范使用多个通配符。单击帮助按钮显示语法示例。
记录选项
•写入Event Viewer:
如果选中,System Change Log将日志条目指向Event Viewer日志。
•写入日志文件:
如果选中,系统更改日志将日志条目引导到%systemroot% system32目录(即c: winnt system32 scl.log)中的scl.log文件。可以通过编辑注册表更改默认文件位置。
•更大日志大小:
磁盘上scl.log文件的更大所需大小。如果将其设置为零,则日志文件大小仅受磁盘上可用空间限制。任何其他数字指定日志文件的大小(以千字节为单位)。日志文件每小时检查一次。如果超过更大指定大小,则从文件开头删除条目直到小于更大指定大小来修剪日志。
• 查看日志
单击此按钮将弹出内置的System Change Log查看器,可以实时查看日志条目。
要求
版本3.1:32或64位XP、2003 / R2、Vista、2008 / R2和Windows 7适用于本地连接的驱动器(非动态磁盘)上的NTFS文件系统。