Win10怎么查看共享文件夹访问记录 Win10事件查看器追踪用户操作痕迹【排查】

需手动启用对象访问审核策略并配置文件夹审核，再通过事件查看器筛选ID 4663日志、PowerShell导出、net session/openfiles实时检查或域环境GPO集中审计来追溯Windows 10共享访问。

如果您尝试追溯某台Windows 10计算机上共享文件夹被谁在何时访问过，系统默认不会自动开启详细审计，需手动启用相关策略并依赖事件查看器捕获操作痕迹。以下是可立即执行的排查路径：

一、启用对象访问审核策略

Windows必须预先配置安全策略，才能记录对共享文件夹的读取、写入、删除等操作。未启用该策略时，事件查看器中将完全无对应日志生成。

1、按下Win+R组合键，输入gpedit.msc并回车，打开本地组策略编辑器（仅限专业版/企业版）。

2、依次展开：计算机配置 → Windows设置 → 安全设置 → 本地策略 → 审核策略。

3、双击“审核对象访问”，勾选“成功”和“失败”两项，点击确定。

4、右键单击需监控的共享文件夹，在“属性→安全→高级→审核”中添加Everyone或具体用户，并勾选“读取属性”“读取数据”“写入数据”等所需审核项。

二、通过事件查看器筛选4663事件

事件ID 4663代表“已访问对象”，是唯一能反映共享文件被实际打开、读取或修改的关键日志类型。该事件仅在启用审核策略且目标文件夹配置了审核条目后才会生成。

1、按Win+R输入eventvwr.msc，打开事件查看器。

2、左侧导航至：Windows日志 → 安全。

3、右侧点击“筛选当前日志”，在“包含事件ID”框中输入4663，点击确定。

4、在结果列表中，双击任一4663事件，查看“详细信息”选项卡下的“Subject”字段（操作用户）、“Object Name”字段（被访问的完整路径）、“Accesses”字段（执行的操作类型，如ReadData、WriteData）。

三、使用PowerShell快速导出近期共享访问日志

当需批量分析或导出特定时间段内的访问记录时，PowerShell可绕过图形界面直接提取结构化数据，避免人工逐条翻查。

1、以管理员身份运行PowerShell。

2、执行以下命令，获取过去24小时内所有4663事件：

Veo

Google 最新发布的 AI 视频生成模型

567

查看详情

Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4663; StartTime=(Get-Date).AddHours(-24)} | Select TimeCreated, Id, Message | Export-Csv -Path "$env:USERPROFILEDesktopShareAccessLog.csv" -Encoding UTF8

3、打开生成的CSV文件，按“Message”列搜索关键词如\servershare或.docx定位具体共享路径操作。

四、检查SMB连接会话与打开文件实时状态

若需确认当前谁正在访问共享而非历史记录，可跳过日志审计，直接调用系统级SMB会话管理接口获取即时连接快照。

1、以管理员身份运行命令提示符或PowerShell。

2、输入命令：net session，列出所有活动SMB会话，含客户端IP、用户名、空闲时间及登录时间。

3、输入命令：openfiles /query /s localhost /fo table，显示当前被远程用户打开的所有文件及其完整路径。

4、若需强制断开某会话，使用：net session \192.168.1.100 /delete（将IP替换为实际客户端地址）。

五、启用高级文件服务器审计（适用于域环境）

在Active Directory域控制器统一策略下发场景下，可通过组策略对象（GPO）集中启用文件服务器资源的细粒度审计，覆盖所有加入域的共享主机，避免逐台配置。

1、在域控制器上打开组策略管理控制台（gpmc.msc）。

2、新建GPO并链接至目标OU，编辑该策略，路径为：计算机配置 → 策略 → Windows设置 → 安全设置 → 高级审核策略配置 → 系统审核策略 → 对象访问。

3、启用“文件系统”审核策略，并确保“配置模式”设为“全局对象访问审核”。

4、在共享文件服务器上，对目标文件夹右键→属性→安全→高级→审核→添加域用户组，勾选“成功”的“读取”“写入”“删除子容器及对象”等权限。

以上就是Win10怎么查看共享文件夹访问记录 Win10事件查看器追踪用户操作痕迹【排查】的详细内容，更多请关注php中文网其它相关文章！