EaseFilter文件I/O監視器

EaseFilter文件I/O監視器可以實時審計Windows中的文件訪問和更改。使用EaseFilter文件監視器，您可以監控文件系統級別的文件活動，捕獲文件打開、創建、覆蓋、讀、寫、查詢文件信息、設置文件信息、查詢安全信息、設置安全信息、文件重命名、文件刪除、目錄瀏覽和文件關閉I/O請求。您可以創建文件訪問日志，您將知道誰，何時，訪問了哪些文件。您可以通過跟蹤和監控所有用戶和文件的活動、權限變更、存儲容量，對用戶和數據進行全面的控制和可見性，并生成實時審計報告。

設置

要啟動過濾器驅動程序，首先需要在設置中添加過濾規則，然后過濾器驅動程序將知道要管理哪個文件。

1.添加過濾規則

若要管理文件，請添加帶有通配符的包含文件篩選器掩碼，如果希望該篩選器掩碼具有例外，則添加排除文件篩選器掩碼，或將其設置為空。

可以有多個過濾規則，每個包含文件過濾掩碼必須是唯一的，每個包含文件過濾掩碼可以有多個排除文件過濾掩碼。

當用戶訪問文件時，過濾器驅動程序將檢查過濾規則，如果文件匹配文件規則的包含文件過濾掩碼，則檢查該過濾規則中是否有排除文件過濾掩碼，如果文件匹配排除文件過濾掩碼，則不管理此文件，或者將管理此文件。

2.保護流程

為了防止進程被終止，您可以在這里添加進程Id，如果您想取消對它的保護，可以刪除它。

3.包括流程

如果您只想管理來自特定進程的文件，那么在這里添加進程Id，或者讓它為空，它將包括所有進程。

4.排除過程

如果您不想管理來自特定進程的文件，那么在這里添加進程Id，或者讓它為空，它不會排除任何進程。

5.監視I/O請求

選擇要監視的I/O請求，這樣當過濾器驅動程序捕獲I/O請求時，控制臺將顯示I/O信息。

6.僅顯示文件更改事件

如果您不想顯示這么多I/O請求，為了快速設置，您可以只在選擇文件更改事件時顯示文件更改I/O請求。

開始監控

啟動監視器后，在控制臺中，您將看到如下的I/O信息:

從控制臺中，您可以看到這些信息:

1.時間:I/O操作的事務時間。

2.用戶名:訪問文件的用戶名，如果是從遠程服務器訪問文件，會額外增加“從遠程服務器訪問文件”。

3.進程名和進程Id:訪問文件并發起該I/O請求的進程。

4.threaddid:訪問文件并發起這個I/O請求的線程。

5.I/O請求名稱:I/O請求的名稱。

6.FileObject:它類似于文件句柄的概念，每個文件打開，系統I/O管理器將生成一個唯一的文件對象，直到文件句柄被關閉。

6.文件名:與此I/O請求相關聯的文件名。

7.文件大小:被訪問文件的文件大小。

8.文件屬性:被訪問文件的文件屬性。

9.“最后一次寫時間”:文件被訪問的最后一次寫時間。

10.返回狀態:返回I/O狀態，如果返回成功，警告或錯誤代碼，則顯示I/O結果。

11.描述:描述顯示I/O請求的額外詳細信息。A.文件被刪除，b.文件被重命名，c.新文件被創建。D.查詢數據信息。