“我们公司文件服务器上的一个重要文件被别人删除了，我想查出来是谁删的，这个怎么查？“，类似这样的问题，我最近被问到过很多次，这是用户经常碰到的一个问题。

首先，先说一下答案，如果要记录用户对文件服务器的访问操作，操作系统必须启用“对象审核策略”，

并且针对文件服务器上的对象配置了审核访问控制列表，换句话说，就是您想监控谁对该对象做了什么类型的访问。

在满足了这两个前提下，当某个用户对文件服务器上的文件执行读取、修改或删除的操作时，事件是可以记录下来的，这个事件可以通过打开”事件日志查看器“，在”安全“日志中找到。

但是如果没有配置对象审核策略，那就不用想了，肯定是查不到的。而默认情况下，系统不会自动启用，必须手工启用。

但接下来又有问题了，即时事件被记录下来了，您也不一定能找到，为什么？一是因为事件日志的文件大小是固定的，如果每天产生大量的日志，那么您想要查询的日志有可能已经被覆盖。二是因为事件日志的量太大，而且阅读起来不是很友好，需要一条挨着一条记录地去找，这样会浪费很多时间。

哪有什么办法，以后让日志可以永久保存，而且可以更友好的查看，如果能导出报表就更好了。

我给您推荐一款工具，是卓豪公司的“ADaudit Plus”。

ADAP是一款活动目录变更审计和报告软件，通过提取Windows系统中的安全日志数据，并对其进行分析、解析和整理，将有用的数据提炼并保存到数据库中，帮助审计和跟踪Windows活动目录中的所有操作。

它详细记录变更历史，可以对诸如创建，删除和编辑用户/计算机/组/域策略对象等各类管理操作进行审计，报告活动目录所做的变更，并生成丰富而又详尽的报表。从而帮助IT管理员回答“谁在什么时间什么地方执行了什么行为”的问题，满足企业内部审计和外部法规监管的需要。

除了审计活动目录变更，ADAP还可以安全地跟踪文件服务器以了解对文件和文件夹结构、共享和权限中文档的访问、变更。用50余种搜索属性和筛选器（它们基于用户、文件、服务器、共享或自定义报表）查看专属文件审计报表，以获取非常详细的信息。

下面是部分ADAP提取的文件服务器访问报表截图：