Salut à tous,  
 
J'ai un petit pb sur un server Windows NT4.  
Je cherche à auditer des répertoires sur des disques réseaux (voir qui supprime les fichiers sur le réseau).  
J'ai tout mis en place, je récupère ce que je cherche, mais le problème c'est que dès que j'active l'audit sur "File and Object access", je me tape 1000 lignes/s du system dans la log concernant l'accès aux fichiers  (ex :  
Event Id : 562  
Source : Security  
Type : Audit Success  
Category : Object Access  
User : SYSTEM  
 
Handle Closed:  
  Object Server: Security  
  Handle ID: 156  
  Process ID: 2191919328)  
 
Lignes qui ne m'intéressent pas et qui saturent ma log (8Mo en 5 minutes!!)  
 
Si quelqu'un a une solution, je suis preneur  
   

audit les echecs

 
oui mais si la suppression réussie, il n'aura pas plus la réponse à sa question...

 
si la suppression reussi c'est que l'utilisateur à le droit de supprimer, donc la question se pose en terme d'autorisation.

 
+1
 
Néanmoins, il a peut être à faire avec un cliqueur fou qui a le droit de supprimer mais avec diligence... Et peut être qu'il cherche à savoir qui supprime à tour de bras car comme d'habitude, lorsqu'on demande aux utilisateurs, c'est jamais eux

 
mouais... ben dans ce cas tu peux rien faire. A part sauvegarder, restaurer, sauvegarder...puis restaurer...
 

j'ai mis Utilisateurs authentifiés, mais c'est juste un test.
Toi mets , les groupes globaux que tu veux auditer.

si tu fais ca les USER ne peuvent plus renommer les fichiers ni les deplacer par exemple.

Mais si ils peuvent, c'est juste un audit

 
ah vi c'st la page d'audit...

 
Si justement, c'est la que ça devient intéréssant pour moi, je veux savoir la personne qui supprime les fichiers d'une autre dans un répertoire commun (donc accès partagé).