如何找到被刪除的檔案（怎樣找到電腦上已經刪除的檔案）

“我們公司檔案伺服器上的一個重要檔案被別人刪除了，我想查出來是誰刪的，這個怎麼查？“，類似這樣的問題，我最近被問到過很多次，這是使用者經常碰到的一個問題。

首先，先說一下答案，如果要記錄使用者對檔案伺服器的訪問操作，作業系統必須啟用“物件稽覈策略”，

並且針對檔案伺服器上的物件配置了稽覈訪問控制列表，換句話說，就是您想監控誰對該物件做了什麼型別的訪問。

在滿足了這兩個前提下，當某個使用者對檔案伺服器上的檔案執行讀取、修改或刪除的操作時，事件是可以記錄下來的，這個事件可以通過開啟”事件日誌檢視器“，在”安全“日誌中找到。

但是如果沒有配置物件稽覈策略，那就不用想了，肯定是查不到的。而預設情況下，系統不會自動啟用，必須手工啟用。

但接下來又有問題了，即時事件被記錄下來了，您也不一定能找到，為什麼？一是因為事件日誌的檔案大小是固定的，如果每天產生大量的日誌，那麼您想要查詢的日誌有可能已經被覆蓋。二是因為事件日誌的量太大，而且閱讀起來不是很友好，需要一條挨著一條記錄地去找，這樣會浪費很多時間。

哪有什麼辦法，以後讓日誌可以永久儲存，而且可以更友好的檢視，如果能匯出報表就更好了。

我給您推薦一款工具，是卓豪公司的“ADaudit Plus”。

ADAP是一款活動目錄變更審計和報告軟體，通過提取Windows系統中的安全日誌資料，並對其進行分析、解析和整理，將有用的資料提煉並儲存到資料庫中，幫助審計和跟蹤Windows活動目錄中的所有操作。

它詳細記錄變更歷史，可以對諸如建立，刪除和編輯使用者/計算機/組/域策略物件等各類管理操作進行審計，報告活動目錄所做的變更，並生成豐富而又詳盡的報表。從而幫助IT管理員回答“誰在什麼時間什麼地方執行了什麼行為”的問題，滿足企業內部審計和外部法規監管的需要。

除了審計活動目錄變更，ADAP還可以安全地跟蹤檔案伺服器以瞭解對檔案和資料夾結構、共享和許可權中文件的訪問、變更。用50餘種搜尋屬性和篩選器（它們基於使用者、檔案、伺服器、共享或自定義報表）檢視專屬檔案審計報表，以獲取非常詳細的資訊。

下面是部分ADAP提取的檔案伺服器訪問報表截圖：