如何查文件访问记录 查看文件访问历史记录

如何查文件访问记录

1、Windows系统自带的文件访问记录功能

Windows系统自带的文件访问记录功能可以记录文件的所有操作，包括打开、编辑、删除等。打开文件访问记录功能的方法如下：

1）在资源管理器中选中要记录的文件；

2）右键点击文件，选择“属性”；

3）在属性对话框中，点击“安全”选项卡，然后点击“高级”按钮；

4）在高级安全设置窗口中，点击“审核”选项卡，然后点击“添加”按钮；

5）在“选择用户、计算机、服务帐户或群组”对话框中，输入要记录的用户或用户组的名称，然后点击“确认”按钮；

6）在“权限”对话框中，勾选要记录的操作，然后点击“确定”按钮。

接下来，打开或编辑被记录的文件，系统会自动记录相关操作，可以在事件查看器中查看记录。

2、使用第三方工具查看文件访问记录

如果不想使用Windows自带的文件访问记录功能，也可以使用第三方工具来记录文件的操作。目前市面上有许多可以记录文件访问记录的软件，例如Process Monitor等。

使用这些工具记录文件访问记录的方法一般都比较相似：

1）下载并安装所选工具；

2）打开工具并开始记录文件操作；

3）进行想要记录的操作，工具会自动记录下来；

4）结束记录，查看记录结果。

3、查看Windows日志记录文件访问记录

Windows系统有许多系统日志可以查看，其中也包括文件访问记录。查看Windows日志记录的方法如下：

1）打开“事件查看器”；

2）在左侧导航面板中，选择“Windows日志”下的“安全”；

3）在中间的事件列表中，选择ID为“4663”的事件，这个事件表示文件或目录的访问控制列表（ACL）已被修改；

4）在事件详细信息中，可以查看文件名、用户、访问时间等信息。

4、通过PowerShell查看文件访问记录

除了上述方法，还可以使用PowerShell查看文件访问记录。首先需要开启文件系统审核功能，在控制面板的安全审计策略中进行设置。设置完成后，可以使用以下PowerShell命令查看文件访问记录：

1）使用Get-EventLog命令获取Windows的“安全”事件日志；

2）用Where-Object命令过滤事件日志，只显示4663和4656事件类型的日志；

3）使用Format-Table对事件日志进行格式化，以便更方便地查看。

总结

以上介绍了四种方法来查看Windows系统的文件访问记录。其中，Windows自带的文件访问记录功能是最简单、最方便的，但是需要手动开启并设置；而使用第三方工具、查看Windows日志、通过PowerShell查看则需要一定的专业知识和技能，但是更具灵活性。