Categories
por

Como monitorizar alterações de ficheiros e pastas no Windows

Pode usar um segundo monitor no seu computador Windows 10 para facilitar o seu trabalho. Contudo, se o seu segundo monitor não for detectado ou se o segundo monitor não tiver sinal, sabe como se livrar deste problema? Agora, pode ler este post para obter algumas soluções úteis.

Se estiver a trabalhar em alguns campos especiais como edição de vídeos, utilização de múltiplas aplicações ao mesmo tempo, ou jogos no seu computador Windows 10, pode ligar um segundo monitor ao seu dispositivo para tornar o seu trabalho mais fácil.

Depois de ligar um segundo monitor ao seu computador, poderá descobrir que o segundo monitor não tem sinal ou que o segundo monitor não foi detectado. Em caso afirmativo, sabe como resolver este problema? Neste post, o software MiniTool irá mostrar-lhe algumas soluções eficazes.

Razões para o segundo monitor não detectado/segundo monitor sem sinal

Primeiro, vamos falar sobre as causas do 2º monitor não detectado.

Esta questão pode ser causada por muitas razões, como por exemplo:

  • O controlador gráfico está corrompido ou danificado.
  • O controlador de gráficos está desactualizado.
  • Existem alguns problemas relacionados com a hardware.
  • E mais…

Centrando-nos nestas questões, recolhemos algumas soluções específicas. Pode experimentá-las para o ajudar.

Como reparar o segundo monitor não detectado/segundo monitor sem sinal?

  1. Correcção do Segundo Monitor Não Detectado Usando a Resolução de Problemas de Hardware
  2. Corrigir segundo monitor não detectado usando definições
  3. Fixar Segundo Monitor Não Detectado Actualizando/Reinstalando o Controlador Gráfico

Método 1: Utilização de Hardware Resolução de Problemas

Se o seu Windows não estiver a detectar o segundo monitor, é normalmente um problema de hardware. Deve fazer as seguintes verificações e correcções:

  • Deve certificar-se de que o monitor está correctamente ligado ao seu computador e à fonte de alimentação.
  • O monitor deve ser ligado.
  • Reinicie o seu computador para corrigir os problemas temporários e restabelecer a ligação.
  • Pode utilizar os controlos integrados no monitor para verificar se a entrada correcta está seleccionada.
  • Utilize um cabo de sinal diferente para verificar se se trata de um problema de cabo.
  • Verifique a porta do monitor e a porta HDMI para ver se está a utilizar o cabo correcto.
  • Use o monitor de outro computador para verificar se se trata de um problema de monitor.
  • Desligue todos os periféricos como discos rígidos externos, unidades flash USB, ou impressoras do seu computador.

Método 2: Utilização de definições

Também pode fixar o segundo monitor não detectado/segundo monitor não detectado através de Definições. Aqui estão duas coisas que pode fazer:

Efectuar uma segunda detecção de visualização

  1. Clique em Start .
  2. Go to Settings > Mostrar .
  3. Clique no botão Detectar em Rearranjar os seus ecrãs .

Ligue o Segundo Monitor sem fios

Se ligar o segundo monitor ao seu Windows usando um cabo, pode tentar ligá-lo sem fios para ver se o problema desaparece.

  1. Clique em Start .
  2. Go to Settings > Devices > Bluetooth e outros dispositivos .
  3. Clique em Adicionar Bluetooth e outros dispositivos .
  4. Clicar em Mostrar sem fios ou acoplar na interface pop-up.
  5. Certifique-se de que o visor sem fios está ligado e de que é descoberto.
  6. Escolher o visor de destino da lista.
  7. Siga as instruções no ecrã para terminar as configurações.

Método 3: Actualizar/Reinstalar/Retroceder o Controlador Gráfico

Se o controlador gráfico estiver corrompido ou desactualizado, segundo monitor não detectado ou segundo monitor não pode também acontecer nenhum sinal. É possível actualizar ou reinstalar o driver do dispositivo para tentar.

Actualizar o Controlador Gráfico

  1. Clique em Start .
  2. Go to Settings > Update & Security > Actualização do Windows .
  3. Clicar Ver actualizações opcionais .
  4. Expandir actualizações de drivers e depois seleccionar o driver que deseja actualizar.
  5. Clique em Descarregar e instalar . Depois, deve esperar até ao fim de todo o processo.

Após estas etapas, o problema deve ser resolvido. No entanto, se não conseguir encontrar a opção View (Ver actualizações opcionais), não deverá haver nenhuma actualização do driver gráfico disponível. Pode reinstalar o driver gráfico para ver se consegue resolver o segundo monitor não detectado ou sem sinal.

Reinstalar o driver para gráficos

  1. Utilize a pesquisa do Windows para procurar o gestor de dispositivos e seleccionar o primeiro resultado para o abrir.
  2. Expandir adaptadores de ecrã .
  3. Clicar no adaptador de destino e depois seleccionar Desinstalar dispositivo .
  4. Desmarcar Eliminar o software do controlador deste dispositivo .
  5. Clicar em Uninstall (Desinstalar) .
  6. Reinicie o seu computador e o Windows instalará automaticamente o driver gráfico no arranque.
  7. Aceder ao Gestor de Dispositivos
  8. Clicar com o botão direito do rato no nome do computador e depois seleccionar Scan for hardware changes .

Rollback o Controlador Gráfico

Se o 2º monitor não detectado acontecer depois de actualizar o driver gráfico, pode retroceder o driver para ver se o problema pode ser resolvido.

Resumindo

Esperamos que as soluções mencionadas neste post possam ajudá-lo a resolver o segundo monitor não detectado.

Além disso, se perder alguns ficheiros importantes por engano, pode usar a ferramenta gratuita de recuperação de ficheiros, MiniTool Power Data Recovery, para recuperá-los. Este software tem uma edição experimental. Pode primeiro experimentar este freeware e depois decidir se o deve actualizar para uma edição completa.

Se se deparar com algumas questões relacionadas, pode informar-nos no comentário.

Sobre o Autor

Stella trabalha em MiniTool Software como editor inglês há mais de 4 anos. Os seus artigos cobrem principalmente os campos da recuperação de dados, incluindo a recuperação de dados de meios de armazenamento e recuperação de dados telefónicos, descarga de vídeos do YouTube, gestão de partições, e conversões de vídeo.

Martin Hendrikx tem escrito sobre tecnologia há anos. A sua carreira como freelancer inclui tudo, desde posts em blogues e artigos noticiosos a livros electrónicos e artigos académicos. Leia mais.

Se outra pessoa estiver a usar o seu computador ou se precisar de ver que alterações foram feitas aos seus ficheiros e pastas durante um tempo específico, pode usar a prática aplicação FolderChangesView de Nirsoft. Nirsoft é um grande fornecedor de freeware que produz pequenas e surpreendentes ferramentas para o seu PC, e a melhor parte é que eles nunca agregam porcarias com os seus programas como muitos outros fornecedores de software fazem.

O que é Folder Change View?

FCV é um pequeno Utilitário autónomo criado pela Nirsoft Labs que facilita a monitorização de pastas de unidades de disco inteiras para quaisquer alterações. Fornecer-lhe-á uma lista abrangente de todos os ficheiros que foram modificados, criados, ou apagados durante o tempo em que a pasta está a ser monitorizada. Para além de permitir a monitorização de unidades locais, o FCV também lhe permite monitorizar unidades que estão a ser partilhadas através de uma rede, se tiver “Read Permissions”.

Descarregar o Utilitário

Quando estiver pronto para começar, terá de descarregar o utilitário FolderChangesView a partir do website da Nirsoft. Basta rolar para o fundo da página e descarregar o ficheiro zip que

Uma vez que o FCV é uma aplicação autónoma, não é necessária qualquer instalação. Basta abrir a pasta onde se encontram os ficheiros extraídos e fazer duplo clique no ficheiro “FolderChangesView. exe”. Lembre-se de que pode ser necessário permitir a execução da aplicação clicando no botão “Executar” na janela “Aviso de Segurança”.

Uma vez aberto o programa, terá de seleccionar a pasta que deseja monitorizar, e depois premir o botão “OK”. Uma vez premido “OK”, o utilitário começará automaticamente a monitorizar a sua pasta e quaisquer subpastas de acordo com os parâmetros que definir. Para este exemplo, escolheremos monitorizar a pasta “Downloads” no Windows. Faça-o alterando a pasta de destino como se mostra na imagem abaixo.

Uma vez seleccionada uma pasta a monitorizar, pode também optar por editar os parâmetros de monitorização alterando quaisquer outras definições mostradas na captura de ecrã. Não os utilizaremos por agora, mas poderá experimentá-los mais tarde. Estas definições não alterarão quaisquer ficheiros no seu computador, pelo que não precisará de se preocupar em estragar nada ao introduzir as definições “erradas”.

Faça algumas alterações!

Agora que definimos que pasta será monitorizada, é altura de fazer uma ou duas alterações para ver a forma como a informação é mostrada. Para este exemplo, vou apagar um ficheiro da pasta, adicionar uma nova pasta, e mover os ficheiros existentes para esta nova pasta.

As alterações que foram feitas na pasta “Downloads”, que foram monitorizadas pelo FCV, são:

“Partição Paragon Ma…” foi apagada

  1. “New Folder” foi criado e depois modificado (a modificação veio da alteração do nome)
  2. “VirtualBox-4.3.20-9699…” foi apagado e criado. Isto indicou que o ficheiro foi movido porque foi criado na “Nova Pasta” e apagado da pasta original “Downloads”.
  3. A “Oracle_VM_VirtualBox…” teve as mesmas alterações que o ficheiro anterior, porque também foi movido.
  4. Que informação é mostrada?

O Utilitário irá fornecer-lhe detalhes completos sobre quaisquer alterações na pasta. Se se deslocar para a direita da janela de Monitorização, verá detalhes sobre o ficheiro, incluindo:

Nome do ficheiro

  1. Contagem modificada
  2. Contagem criada
  3. Contagem eliminada
  4. Caminho completo (localização dos ficheiros em questão)
  5. Extensão (as extensões dos ficheiros que foram registados pelo monitor)
  6. Proprietário do ficheiro
  7. Evento de primeira vez (Esta coluna e a coluna ao lado informar-lhe-ão quando foi feita a primeira e última alteração ao ficheiro. Isto é útil se estiver a trabalhar num Documento Word, por exemplo, e quiser ver quanto tempo o ficheiro esteve em uso).
  8. Evento da última vez
  9. Tamanho do ficheiro
  10. Tempo Modificado (Isto é diferente de #8 e 9 uma vez que lhe diz quando os atributos, nome e outros detalhes dos ficheiros foram modificados em vez de quando foi acedido.
  11. Hora Criada
  12. Atributos
  13. Se quiser ver toda esta informação sobre um único ficheiro numa janela em vez de ter de se deslocar para o lado, pode clicar com o botão direito do rato em qualquer entrada e depois premir “Propriedades”. (NÃO Propriedades do ficheiro)

Envolvimento

Agora que sabe como monitorizar as alterações de ficheiros no seu PC, nunca há-de

Manter um registo das alterações feitas às suas pastas é uma parte importante da manutenção de um ambiente de dados seguro dentro do seu PC Windows. Felizmente, o Windows tem uma funcionalidade incorporada que permite aos utilizadores monitorizar visualizações e alterações a uma pasta específica. Se tiver uma pasta contendo os seus dados sensíveis, poderá precisar de saber quem está a aceder ou a realizar outras acções na pasta. Neste guia, ensinar-lhe-emos como monitorizar as actividades dos utilizadores e acompanhar as alterações de pastas no Windows 10.

Rastrear Alterações de Pastas com a Política de Grupo do Windows

A Política de Grupo é uma característica de segurança do Windows, principalmente utilizada pelos administradores de TI para gerir computadores dentro de uma rede, mas também pode ser utilizada no seu computador local. No entanto, no Windows 10, a característica só está disponível nas edições Pro e Enterprise.

Aceder ao editor da Política de Grupo

No Windows 10, prima as teclas “Win + R” para abrir Run, escreva “GPedit. msc” e clique em “Ok”.

  • Ou procure por “Edit Group Policy” na caixa de pesquisa do Windows e escolha o resultado correspondente.
  • Existem dois tipos principais de políticas de grupo: Políticas do computador e do utilizador.
  • Neste caso, iremos seleccionar as políticas de “Configuração do computador” para auditar as alterações de todos os utilizadores do computador.
  • Configurar a política de auditoria

Expandir as políticas de configuração do computador, depois navegar para “Definições Windows”, escolher “Definições de Segurança”, “Políticas Locais” e depois expandir a pasta “Política de Auditoria”.

  • Encontrará uma série de políticas no painel do lado direito com o seu estado de configuração.
  • Faça duplo clique no modelo “Audit object access” para configurar as propriedades.
  • Se quiser monitorizar alterações bem sucedidas e falhadas a uma pasta, clique para verificar a caixa “Sucesso” e “Falha”.
  • Clique em “Aplicar” e depois em “Ok” para guardar as alterações e fechar o editor do GP.
  • Configurar as definições de auditoria de pastas

Navegue para a pasta específica que deseja monitorizar no File Explorer.

  • Clique com o botão direito do rato sobre a pasta e abra as suas “Propriedades”.
  • Mova-se para o separador Segurança e clique no botão “Avançado” logo abaixo das permissões dos utilizadores.
  • Na janela resultante, mude para o separador “Auditoria” e clique no botão “Adicionar” para adicionar grupo de utilizadores.
  • Seleccionar o nome do PC Utilizadores como mostrado na imagem e clicar em “Ok”.
  • Isto conduzirá ao “Audit Entry for [nome de pasta]” para escolher exactamente o que gostaria de monitorizar.
  • Pode escolher acompanhar o sucesso ou falhar em “Tipo”, seleccionar a pasta, subpasta e ficheiros para monitorizar as alterações a todo o conteúdo da pasta.
  • Clique para marcar a caixa contra as acções que gostaria de acompanhar, tais como escrever, ler, e executar e assim por diante.
  • Depois de ter escolhido as suas opções, clique em “Ok”.
  • Clique em “Ok” no outro assistente de propriedades de pastas para fechar.
  • Rastrear Eventos com Visualizador de Eventos

Para monitorizar as alterações a uma pasta, é necessário abrir o Event Viewer. Na caixa de pesquisa do Windows, digite “Event Viewer” e abra a ferramenta a partir do resultado.

  • Vá a “Registos do Windows” e depois a “Segurança”. Isto abrirá uma lista das actividades recentes no painel central.
  • Se fizer alterações à pasta que está a monitorizar; aceder, criar/eliminar um ficheiro ou qualquer outra acção, encontrará uma série de entradas na categoria “Ficheiro de Sistema”.
  • Para ver mais detalhes sobre o evento, clique duas vezes no evento e mude para o separador “Detalhes”.
  • Para verificar através de milhares de eventos do ficheiro do sistema, pode aplicar filtro e apenas procurar através dos eventos mais importantes.
  • Para o fazer, clique em “Click Current Log…” seleccione o nível do evento, introduza o ID do evento e depois “Ok” para filtrar. Pode também usar também a classificação por Event Id.
  • Mudanças de Pasta de Rastreio com 3 rd Party

Em alternativa, pode utilizar outro software de terceiros para monitorizar as alterações a uma pasta. Algumas destas incluem:

Folder Monitor – Um software gratuito de terceiros que ajuda a controlar as actividades das pastas no Windows. Monitoriza vários eventos, incluindo apagar e criar actividades, bem como notificar os utilizadores sobre tais alterações. A ferramenta tem uma IU simples e é fácil de usar; basta clicar com o botão direito do rato no ícone para adicionar as pastas que deseja monitorizar.

  • FolderChangesView – outra ferramenta leve para monitorizar as actividades das pastas no Windows. Só precisa de introduzir o caminho pasta/subpasta e o programa manterá o registo da criação, eliminação ou modificação da pasta.
  • TheFolderSpy – um programa do Windows que monitoriza alterações a um tipo de pasta especificado e notifica os utilizadores da modificação de subpasta.
  • Watch for Folder – um programa que permite aos utilizadores seleccionar uma pasta ou subpasta e envia notificações sobre quaisquer alterações como renomear, apagar e visualizar, entre outras. Pode também enviar notificação sobre dispositivos externos ligados ou desconectados.
  • Conclusão

Se tiver uma pasta ou ficheiro sensível no seu PC, precisa de estar atento para ver que alterações são feitas à pasta, quem as fez e a que horas. Felizmente, pode seguir os passos acima indicados para monitorizar as alterações de pasta sem instalar qualquer programa ou utilizar um programa de terceiros para acompanhar as actividades da pasta.

O acompanhamento das alterações feitas aos ficheiros/pastas ajuda a garantir a segurança dos dados e a cumprir os requisitos dos mandatos de conformidade. O registo de alterações injustificadas revela-se útil durante as investigações de violação de dados. Ao manter um registo de quem alterou o quê nos seus servidores de ficheiros, as ameaças internas também podem ser evitadas. Eis como pode seguir quem alterou um ficheiro ou pasta nos seus servidores de ficheiros usando métodos nativos.

Descarregar GRATUITAMENTE, 30 dias de teste totalmente funcional

Com Auditoria AD Nativa

Com ADAudit Plus

Monitorização completa de alterações em ficheiros/pastas com ADAudit Plus:

ADAudit Plus oferece relatórios que recolhem as alterações feitas aos seus ficheiros/pastas com detalhes completos num único clique. Estes relatórios podem ser exportados em qualquer formato, como CSV, PDF, XML, etc. Alertas em tempo real podem ser enviados para o seu e-mail ou telefone, para que possa ser notificado quando são feitas alterações a um ficheiro ou pasta crítico. Veja aqui como pode aceder a estes relatórios:

Inicie sessão na ADAudit Plus → Vá ao separador Auditoria de Ficheiros → Em Relatórios de Auditoria de Ficheiros → navegue para o relatório Todas as Alterações de Ficheiros/Pastas. Seleccione o período de tempo para o qual pretende acompanhar as alterações efectuadas e o domínio a que o servidor de ficheiros pertence.

Os detalhes que encontrará neste relatório são:

      Nome do ficheiro/pasta que foi alterado

    Quem fez as alterações

    Quando a mudança foi feita

    Localização do ficheiro/pasta

    Método nativo

    Passo 1: Activar a política de ‘Acesso a objectos de auditoria’.

    gpedit. msc)

    Launch the Group Policy Management console (Run –>Criar um novo GPO e ligá-lo ao domínio que contém o servidor de ficheiros ou editar o GPO existente que está ligado ao domínio relevante.

    Política de Auditoria.

    Navigate to Computer Configuration -> Windows Settings -> Security Settings ->Local Policies ->Em Política de Auditoria, seleccionar ‘Audit object access’ e activar a auditoria para ambos os domínios.

    Tipo: Seleccione o tipo de acesso que pretende auditar. É preferível auditar “Todas” as alterações.

    Aplica-se a: Seleccione se pretende auditar as alterações de permissão apenas neste ficheiro, ou em todas as subpastas e ficheiros.

    Permissões básicas: Escolha os tipos de permissões que pretende auditar. Para a sua necessidade específica, clique em ‘Permissões avançadas’, e seleccione ‘Pasta transversal / executar ficheiro’, ‘Listar pasta / ler dados’, ‘Criar ficheiros / escrever dados’, ‘Criar pastas / anexar dados’, ‘Escrever atributo’.

    Passo 3: Ver registos de auditoria no Event Viewer

    Sempre que um utilizador aceder ao ficheiro/pasta seleccionado, e alterar a permissão no mesmo, será registado um registo de eventos no Event Viewer. Para ver este registo de auditoria, vá para o Visualizador de Eventos. Em Windows Logs, seleccionar Segurança. Pode encontrar todos os registos de auditoria no painel do meio, como mostrado abaixo.

    1. Procure nos Registos de Segurança do Windows o ID de evento 4656 com a palavra-chave Audit Failed para descobrir quem tentou alterar um ficheiro ou pasta.
    2. Auditoria nativa a tornar-se um pouco exagerada?
    3. Simplificar a auditoria e relatórios do servidor de ficheiros com ADAudit Plus .
    4. Obtenha a sua versão de teste gratuita Funcionalidades completas 30 dias de teste
    Adam Bertram é um veterano de mais de 20 anos de TI e um profissional de negócios online experiente. É consultor, Microsoft MVP, blogger, formador, autor publicado e comerciante de conteúdos para múltiplas empresas tecnológicas. Leia mais.

    Os ficheiros estão num estado constante de fluxo em qualquer sistema operativo. Às vezes são criados, às vezes são apagados, às vezes são alterados, e tudo isto são coisas normais para um sistema operativo fazer. Por vezes, quando um ficheiro é alterado, pode causar instabilidade noutra aplicação que dependa dele, tal como alterar um número de porta num ficheiro de propriedades, um parâmetro num manifesto de implantação, ou mesmo fixar código em produção sem passar pelo controlo da fonte.

    Como parte da gestão destes sistemas operativos, os engenheiros precisam de uma forma de observar o que acontece a estes ficheiros críticos e tomar medidas quando algo acontece. Introduza a classe. NET FileSystemWatcher e PowerShell.

    Em. NET e. NET Core, FileSystemWatcher é uma classe que vive no espaço de nomes System. IO e monitoriza ficheiros. No PowerShell, isto pode ser muito útil, especialmente quando é combinado com outras funções PowerShell.

    Instanciar o FileSystemWatcher

    Instancie esta classe no PowerShell executando $watcher = New-Object System. IO. FileSystemWatcher . Assim que o fizer, terá de lhe dizer qual a pasta a observar. Faz isto definindo o parâmetro Path no objecto FileSystemWatcher para o caminho da pasta a que quer que assista. Se tiver uma pasta no Windows chamada WatchThisFolder em C: , definiria o FileSystemWatcher para isso executando $watcher. Path = ‘C:WatchThisFolder’ .

    Como esta classe também está em. NET Core, pode fazer tudo isto num sistema Linux ou Mac OS da mesma forma que o faria num sistema Windows. Por exemplo, se tivesse uma pasta no Ubuntu Linux chamada WatchThisFolder sob o seu directório de utilizadores actual, correria $watcher. Path = ‘/home/ubuntu/WatchThisFolder’ .

    O resto das amostras de código neste artigo funcionam em qualquer uma das plataformas sem quaisquer alterações.

    Eventos desencadeantes a partir do FileSystemWatcher

    Agora que tem um novo objecto FileSystemWatcher, pode dar uma vista de olhos por baixo do capô e tentar descobri-lo. Para ver os tipos específicos de eventos do sistema de ficheiros que o FileSystemWatcher está a observar, introduza $watcher | Get-Membe r-MemberType Event . Get-Member mostra tudo o que o objecto que passou para ele contém, e ao adicionar o filtro MemberType, pode ver uma certa categoria, neste caso, eventos.

    Esses eventos são:

    Alterado

    Criado em

    Eliminado

    Disposto

    Erro

    Renomeado

    • Quando um ou mais destes eventos FileSystemWatcher é detectado no caminho que o objecto está a observar, o objecto observador levanta um evento externo, para o qual se podem definir acções.
    • Agora que o objecto observador sabe o que deve observar, e você sabe quais os eventos que está a observar, deve defini-lo para elevar um evento quando uma acção é detectada. Faça isto correndo $watcher. EnableRaisingEvents = $true . Pense nesta bandeira como um interruptor on/off para $watcher : Se o interruptor estiver desligado, não vai acontecer nada se forem feitas quaisquer alterações. Pode também dizer-lhe para olhar para ficheiros e pastas aninhados sob o conjunto no caminho, alterando a bandeira IncludeSubdirectories para true da mesma forma que fez a bandeira EnableRaisingEvents.
    • Definição de acções a tomar
    • Uma vez o objecto observador estabelecido, deve dar-lhe uma acção para executar uma vez detectada essa mudança. Isto pode ser tão simples como escrever num registo do sistema, ou tão drástico como desencadear uma substituição da instância por um puxão limpo do código fonte. Para começar, é necessário definir um bloco de acção no código. Aqui só se escreve para a consola:
    • Pode ver que este código está a puxar variáveis do evento utilizando a variável $event, que é criada para si quando o evento é criado pelo objecto observador. Assim que o evento termina, a variável também termina, o que significa que só vai ter dados relevantes para esse evento.
    • Utilização do Register-ObjectEvent

    Por isso, tem o FileSystemWatcher preparado, e tem acções que quer tomar sempre que algo acontece. Neste momento, estes dois estão separados e não se conhecem um ao outro. Para os pôr a trabalhar juntos, é necessário registar as acções com o evento. PowerShell tem um cmdlet inteiro para isto – o Register-ObjectEvent cmdlet. Para utilizar o Register-ObjectEvent, é necessário passar-lhe três coisas:

    O objecto FileSystemWatcher

    O tipo de evento para desencadear as acções em

    As acções que definiu anteriormente

    Se tiver montado tudo da mesma forma que está listado acima, parecerá algo parecido com isto: Register-ObjectEvent $watcher ‘Event Action’ – Acção $action. A ‘Acção de Evento’ pode ser substituída por qualquer evento do FileSystemWatcher, mas isto fará uma bela demonstração.

    Testar o Evento

    Agora pode testar tudo isto. Nesta secção, vai criar um novo ficheiro no directório especificado, ver a acção do evento, depois desactivar e cancelar o registo do evento.

    • Para criar um novo ficheiro e desencadear o evento, execute a linha abaixo no PowerShell. Isto está no Ubuntu Linux, mas se estiver a seguir no Windows, substitua /home/ubuntu/
    • Dispara cada vez que cria um novo ficheiro nesse directório ou qualquer coisa aninhada sob ele, se activar a bandeira IncludeSubdirectories. Agora que sabe que levantar o evento funciona, vá e desligue-o correndo $watcher. EnableRaisingEvents = $false , depois tente criar um novo ficheiro. O ficheiro deve ser criado, mas nenhum evento aparece. Isto pode ser muito útil se estiver a depurar e não quiser activar nada enquanto estiver a trabalhar no sistema de ficheiros.
    • Uma vez terminado, corra Get-EventSubscriber | Unregister-Event para desregistrar o evento da acção. Agora, mesmo que a bandeira EnableRaisingEvents seja verdadeira e a acção aconteça, a acção não dispara.

    Se trabalhar num computador partilhado ou num ambiente onde vários utilizadores estão a aceder aos mesmos ficheiros e pastas, corre o risco de perder dados importantes. Quando mais do que uma pessoa está a aceder aos mesmos dados, ficheiros e pastas, há uma grande probabilidade de que os seus dados possam ser substituídos por outro utilizador ou que você mesmo substitua os dados e alterações feitas por outros utilizadores utilizando o mesmo ficheiro ou conteúdo de uma pasta no Windows.

    O risco de trabalhar com ficheiros e pastas partilhados

    Tomemos um exemplo para compreender a situação.

    Acabou de guardar uma folha de cálculo Excel numa pasta partilhada de rede do seu computador Windows7, que está ligada a uma ligação de rede local. A sua rede actual tem 4 computadores ligados a ela e 3 dos seus outros amigos ou colegas estão a utilizar o mesmo ficheiro e pasta e a fazer alterações frequentes ao conteúdo do documento e da pasta. Outros utilizadores ligados ao seu computador através de uma rede podem ver ou actualizar esse ficheiro ou copiar o ficheiro no seu computador.

    Quando qualquer um dos utilizadores partilhados actualizar, adicionar ou apagar dados desse ficheiro, poderá perder os dados ou alterações feitas por si, uma vez que os utilizadores partilhados poderão não saber que alterações fez.

    Nota: Se não quiser que outros utilizadores alterem o conteúdo de um ficheiro ou pasta específicos, pode sempre configurar permissões de ficheiros e pastas para utilizadores específicos ou pastas de rede no Windows.

    Monitorizar Alterações de Ficheiros e Pastas no Windows – Receber Notificações Quando o Conteúdo de um Ficheiro ou Pasta é Alterado

    Para evitar tais situações, é necessário um software de monitorização de ficheiros e pastas que mostrará notificações instantâneas a todos os utilizadores partilhados de uma rede de computadores, sempre que forem feitas quaisquer alterações a um ficheiro ou pasta partilhada. E se for o único utilizador dentro da sua rede ou não utilizar de todo uma rede – o programa de monitorização de pastas funciona de qualquer forma, neste caso apenas receberá os registos e notificações de alterações.

    Aqui estão os passos para acompanhar as alterações a um ficheiro ou pasta no Windows:

    1. Descarregue TheFolderSpy , extraia o pacote e faça duplo clique para iniciar a aplicação. O programa é portátil e assim pode ser utilizado em vários compjutadores sem instalação.

    2. Na interface do programa, seleccione o ficheiro ou pasta que deseja que o programa monitorize. Note que deve criar uma nova entrada para cada ficheiro ou pasta que precise de ser monitorizada.

    3. Adicionalmente, escolha outro ficheiro que será utilizado para efeitos de notificação. Este pode ser um simples documento de texto que será aberto assim que o programa detectar que outro utilizador está actualmente a alterar o conteúdo de um ficheiro ou pasta. Uma boa ideia seria utilizar um ficheiro áudio simples armazenado no seu computador, que funciona como um alarme e impede todos os utilizadores de actualizar o conteúdo de um documento partilhado.

    4. Tudo feito, agora deixe o programa correr na bandeja do sistema Windows e espie esse ficheiro ou pasta específica e acompanhe as alterações. Sempre que alguém tentar actualizar, alterar, renomear ou modificar o ficheiro ou pasta especificado que está actualmente a editar, será mostrada ao utilizador partilhado a mensagem de aviso escolhida.

    Desta forma, os utilizadores partilhados da sua rede saberão que o ficheiro não deve ser alterado ou movido para um novo local.

    A aplicação pode ser personalizada para monitorizar apenas ficheiros específicos. Por exemplo: pode utilizar o ficheiro *.mp3 com o carácter selvagem e escolher a opção “Eliminar” para monitorizar se outros utilizadores partilhados estão a eliminar secretamente ficheiros Mp3 e outros ficheiros de áudio do seu sistema. Para além de monitorizar ficheiros e pastas, pode utilizar a aplicação para monitorizar toda a partição do disco rígido, discos rígidos externos, bem como pen drives.

    Outra vantagem de utilizar um software de monitorização de pastas é que pode saber a hora e data exactas da última modificação de um ficheiro ou pasta. Todas as alterações feitas num ficheiro ou pasta são guardadas num ficheiro de registo que pode ser utilizado para acompanhar as alterações de ficheiros importantes do seu sistema. O software é gratuito, funciona em todas as versões do Windows e não requer qualquer instalação.

    Dica: Como ocultar ficheiros e pastas em unidades USB

    Com o crescimento exponencial do volume de dados, a protecção dos bens digitais está a tornar-se cada vez mais desafiante para a maioria das organizações.

    A modificação não autorizada e a deslocação de dados perturbam as funções comerciais normais e podem resultar em danos à reputação, sanções legais e perdas financeiras. A monitorização proactiva das alterações feitas a ficheiros e pastas ajuda a reduzir os casos de roubo e exposição acidental de informação sensível.

    Neste artigo, discutiremos dois métodos através dos quais é possível detectar alterações feitas a qualquer ficheiro numa pasta partilhada. Um utiliza o método nativo, e o outro utiliza o Lepide File Server Auditor.

    Passos para seguir as alterações feitas a ficheiros numa pasta partilhada com auditoria nativa

    Abaixo estão os passos para permitir a auditoria e o seguimento de eventos nos registos de eventos

    Passo 1: Configuração das políticas

    Digite “GPMC. msc” na caixa de diálogo “Prompt de Comando” ou “Executar” para abrir a consola “Gestão de Políticas de Grupo”.

    Navegar para “Forest” ➔ “Domains” ➔ “www. domain. com”

    Clique com o botão direito do rato na política de domínio padrão ou na política personalizada sob o nó “Controladores de domínio

    Nota: Recomendamos-lhe que crie um novo Objecto de Política de Grupo (GPO), que o ligue ao domínio e depois o edite.

    Passo 2: Configure a auditoria no ficheiro/pasta que deseja acompanhar

    Tem de executar os seguintes passos no ficheiro ou pasta. Se os executar numa pasta, estas definições podem ser seleccionadas para serem aplicadas às suas subpastas e ficheiros.

    Abra o “Explorador do Windows” e navegue até à partilha de ficheiros que pretende auditar.

    1. Clicar com o botão direito do rato no ficheiro e clicar em “Propriedades” no menu de contexto.
    2. Mude para o separador “Segurança” e clique no botão “Avançadas” para abrir “Definições avançadas de segurança”.
    3. Mudar para o separador “Auditoria” que mostra as entradas de auditoria já existentes. Figura 4: Separador “Auditoria” na janela “Definições avançadas de segurança”.

    Clique em “Adicionar” para criar uma nova entrada de auditoria. A janela “Entrada de Auditoria” abre-se no ecrã.

    Agora clique em “Select a Principal” para escolher os utilizadores cujas actividades pretende acompanhar. Para rastrear as actividades de todos os utilizadores, introduza “Todos” na caixa “Introduzir o nome do objecto”.

    Clique em “Ok” após finalizar a sua selecção.

    1. Seleccione a opção “Todos” no menu suspenso “Tipo”. Figura 5: Configuração da entrada de auditoria
    2. Na secção Permissões, clicar em “Mostrar permissão avançada” e seleccionar o seguinte:
    3. Criar ficheiros/escrever dados
    4. Criar pastas/acresentar dados
    5. Atributos de escrita
    6. Escrever atributos alargados
    7. Clique em “Ok” para fechar a janela “Entrada de Auditoria”. Leva-o de volta ao separador “Auditoria” da janela “Definições avançadas de segurança”. Figura 6: Entrada de auditoria da janela “Definições avançadas de segurança
    8. Clique em “Aplicar” e “Ok” e feche o ficheiro “Propriedades”.
    9. Passo 3: Seguimento de eventos no “Event Viewer” (Visualizador de eventos)
      • Vejamos os passos para acompanhar os acontecimentos:
      • Abrir “Visualizador de Eventos”.
      • Expandir “Registos do Windows” e seleccionar “Segurança”.
      • Clique em “Filtrar registo actual”.
    10. O ID de evento 4656 é gerado sempre que uma aplicação tenta aceder a um objecto (de acordo com a política de auditoria definida) mas não significa necessariamente que tenham sido exercidas quaisquer permissões. Figura 7: ID de evento 4656 com detalhes do evento
    11. O ID do evento 4658 determina a duração durante a qual um objecto esteve aberto. Figura 8: Evento ID 4658 com detalhes do evento

    O ID do evento 4663 indica se foram exercidas permissões como ler, escrever, apagar ou renomear. Figura 9: Detalhes do evento das permissões acedidas

    1. Como o Auditor do Servidor de Ficheiros Lepide acompanha as alterações de ficheiros em Pastas Partilhadas
      • O Lepide File Server Auditor (parte da Plataforma de Segurança de Dados Lepide) dá-lhe a capacidade de detectar mudanças críticas na sua empresa sem ter de fazer qualquer esforço manual. Relatórios granulares e alertas em tempo real são apenas algumas das características que o ajudam a automatizar tarefas que, de outro modo, seriam demoradas.
      • O seguinte é uma captura de ecrã do relatório “Todas as modificações no ficheiro e pasta partilhados” gerado pelo Lepide’s File Server Auditor.
      • Figura 11: Relatório “Todas as modificações em ficheiro e pasta partilhados”.
    2. Pode ver aqui como é fácil mergulhar em todas as alterações que estão a ser feitas em ficheiros e pastas partilhados. Porque não descarrega hoje o teste gratuito da solução de auditoria do Lepide’s File Server e experimenta-o por si mesmo?
    3. 4sysops – A comunidade online para SysAdmins e DevOps
    4. Autor

    Mensagens recentes

    SolarWinds Server Performance and Configuration Bundle – Tue, Jun 18 2019

    Gestor de Patch SolarWinds: Actualização do software do Windows e de terceiros – Ter, 30 de Abril de 2019

    Monitorizar alterações de ficheiros no Windows com PowerShell e pswatch – Sex, Fev 1 2019

    Como funciona o pswatch

    Instalar o módulo

    • Monitorização de uma pasta e envio de alertas por e-mail
    • Serviço de execução de pswatch
    • Wrap-up
    • Como funciona o pswatch ^
    • Pswatch é de facto bastante simples na sua concepção, pois utiliza a classe. NET System. IO. FileSystemWatcher . Retorna o caminho completo para qualquer ficheiro criado, alterado, apagado, ou renomeado dentro de um directório. Além disso, pode procurar dentro de todas as subpastas de um directório.
    1. Uma grande característica deste módulo é que monitoriza continuamente os directórios, e uma vez que escreve os caminhos dos ficheiros que mudam para a saída, os utilizadores podem usar um laço frontal no PowerShell e executar continuamente a lógica sobre estes objectos. Obviamente, há inúmeros casos de utilização para isto.
    2. Instalar o módulo ^
    3. O módulo infelizmente não está disponível na Galeria PowerShell, mas o Git do criador
    4. Como pode ver, a saída é uma string “Change made on” e o caminho para o ficheiro criado, modificado, renomeado, ou eliminado.
    5. Uma olhada na ajuda do PowerShell mostra-nos os parâmetros possíveis para o relógio. Estes incluem localização, subdirectórios, ficheiros alterados, ficheiros renomeados, ficheiros criados, e ficheiros apagados. Todos por defeito para verdadeiro, excepto os ficheiros apagados, o que é falso.

    Executar o pswatch como um serviço ^

    Uma vez que podemos usar o pswatch continuamente, ele torna-o um grande candidato para um serviço Windows que corre em segundo plano a todo o momento. A forma mais fácil de o fazer foi utilizando uma ferramenta chamada nssm , que encontrei no post de Brandon Olin. Aqui, utilizo o mesmo método que Brandon utilizou para criar e iniciar um serviço chamado “WatchExample”, que é apenas um script contendo o meu comando de relógio utilizado anteriormente:

    Subscreva a newsletter da 4sysops!

    Criar um serviço que executa o pswatch

    Wrap-up ^

    PowerShell não é realmente conhecido como uma grande ferramenta de monitorização, mas o pswatch pode ser uma excepção a esse pensamento. Há muitos casos de utilização do pswatch, mesmo em cenários DevOps, tais como o arranque de testes unitários, como José afirma no readme do repositório GitHub.

    Após muitos incidentes de eliminação/corrupção de ficheiros muito importantes, decidi permitir que a auditoria registasse todas as alterações feitas aos ficheiros e quem exactamente acedeu aos ficheiros, e quais as acções que fez.

    Permitindo a auditoria através do separador Segurança das propriedades de pastas partilhadas.

    Definir o limite de registo “Segurança” para 10GB, e Activar o arquivamento quando cheio.

    Após 1 ano, acabei com 10 ficheiros de registos com 100GB.

    Quando ocorreu outra eliminação, tive de abrir cada ficheiro e filtrar nos IDs 4663,4624,5140, e 4660. Os ficheiros não carregavam consumindo muita memória RAM

    Testei em pequenos ficheiros, não era prático filtrar, pesquisar e navegar

    Utilizei o Log Parser 2.2 para converter para CSV mas não havia colunas para os detalhes dos eventos e a coluna “Descrição” mostrava “A descrição do Evento ID 4624 na Fonte “Microsoft-Windows-Security-Auditing” não pode ser encontrada. O computador local pode não ter as informações de registo necessárias ou ficheiros DLL de mensagens para exibir mensagens de um computador remoto”.

    Existe uma forma de arquivar apenas IDs de eventos específicos?

    Posso arquivar para o CSV? Manter todos os detalhes dos eventos ou qualquer outro formato que seja mais prático, de preferência de código aberto?

    Os IDs 4663,4624,5140, e 4660 são realmente exactos para ficheiros apagados?

    1. itens marcados com_offer local
    2. Windows Server 2012 R2 star 4.6
    3. Entre para ganhar um
    4. 5 Respostas
    5. Penso que talvez seja melhor utilizar software de terceiros especializado na interpretação e formatação dos eventos de acesso a ficheiros que o Windows regista para o registo de eventos de segurança. Infelizmente, incluem muito ruído e são muitas vezes um pouco difíceis de interpretar manualmente.
    6. Se fizer uma pesquisa no Google, encontrará pelo menos 3 produtos. Tive uma boa experiência com EventSentry, que inclui uma funcionalidade que analisa os 4663 (e relacionados) eventos e fornece relatórios fáceis de compreender. Deverá também utilizar muito menos espaço. Eles têm uma demonstração dos seus relatórios onde se pode ver em acção.
    • Espero que isto ajude.
    • Utilizamos Lepide para isto e funciona muito bem.
    • Representante da marca para Lepide
    • Pode experimentar o LepideAuditor for File Server que captura eventos de ficheiros e pastas, de modo a monitorizar cada actividade dos utilizadores com informação detalhada sobre todas as alterações feitas pelos utilizadores no servidor de ficheiros Windows.
    • Aqui está um artigo informativo para permitir a auditoria de acesso a ficheiros e pastas no Windows Server 2012 https://www. lepide. com/how-to/enable-file-folder-access-auditing-windows-server-2012.html

    Verifique o artigo abaixo para obter uma descrição detalhada do procedimento de rastreio das actividades em ficheiros e pastas: https://www. lepide. com/how-to/track-changes-made-to-your-files-and-folders. html

    @Vintas33 – Obrigado por recomendar Lepide.

    itens marcados_local_offer

    Vintas33

    LepideAuditor para File Server star 4.1

    Representante de marca para a Netwrix

    As identificações de eventos que utiliza estão correctas. Infelizmente, a auditoria nativa gera muito ruído para uma única acção de eliminação. Tente o Netwrix Auditor para evitar investigação manual: há relatórios predefinidos para ficheiros e pastas apagados, mais pesquisa tipo google.

    itens marcados com_offer local

    Netwrix Auditor 9 estrela 4.4

    Na verdade, esperava saber como filtrar e interpretar os Eventos de forma apropriada. Conversão completa para CSV e um manual para eventos.

    Não me importo de utilizar uma solução paga de terceiros, mas acho que se assim fosse, não seria apenas para auditoria de eventos, mas para um DMS completo com (Modelos de ficheiros, organização, versões, backup, e permissões).

    • Pode experimentar o LepideAuditor for File Server que captura eventos de ficheiros e pastas, de modo a monitorizar cada actividade dos utilizadores com informação detalhada sobre todas as alterações feitas pelos utilizadores no servidor de ficheiros Windows.
    • Para continuar esta discussão, por favor faça uma nova pergunta.
    • Que computador portátil(es) comprar para os locais de trabalho?

    Olá a todos, num cliente estão à procura de novos computadores portáteis para certos locais de trabalho, há 2 variantes envolvidas:- Computadores portáteis básicos, para executar tarefas muito leves (internet, e-mail, Excel/Word),- Computadores portáteis para gestão, estes precisam de ser um pouco mais rápidos, mas ar.

    O SOC Briefing para 1 de Julho – Verão aqui vamos nós

    • Pode experimentar o LepideAuditor for File Server que captura eventos de ficheiros e pastas, de modo a monitorizar cada actividade dos utilizadores com informação detalhada sobre todas as alterações feitas pelos utilizadores no servidor de ficheiros Windows.
    • Snap! SessionManager malware, Pwds cromados, PowerShell, base lunar, Starlink, etc.

    A sua dose diária de notícias técnicas, em resumo. Embora pareça quase outra vida, lembro-me de quando a música não estava disponível no meu telefone para ouvir. Mas mesmo antes disso, houve um tempo em que a música em viagem não estava prontamente disponível. Mas, na Ju.

    Centelha! Série Pro – 1 de Julho de 2022

    Eu não tinha um Walkman, pelo menos até que eles saíssem com a versão em CD. Não, tive um knock off feito por uma empresa chamada Craig. Mas, esse Craig, tocou horas e horas de música. Creio que ainda funcionou.

    Alterar a zona DNS para AD integrado

    Tenho um cliente que está a executar um único servidor 2008 que é o DC e o File Server. Acabámos de adicionar um novo servidor 22 para substituir o servidor antigo. Juntou-se ao domínio fine e promoveu-o a dc mas notou que o DNS não se estava a replicar, apesar de tudo els.

    Oficina de Engenheiros: Como implementar um padrão de construção CIS Hardened Build

    7 de Julho, 12pm MSK

    Como detectar alterações de ficheiros numa pasta partilhada

    Navegue até à partilha de ficheiros → Clique com o botão direito do rato e seleccione “Propriedades” → Vá para o separador “Segurança

    Executar gpedit. msc → Configurar Política de Domínio Padrão → Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança → Políticas Locais → Política de Auditoria → Acesso a objectos de auditoria → Definir “Sucesso e Falhas”.

    Na “Configuração Avançada de Política de Auditoria”, ajustar o Sistema de Arquivo de Auditoria → Definir “Sucesso e Falhas” e “Manipulação de Manipulação de Auditoria” → Definir “Sucesso e Falhas”.

    Ir para Registo de Eventos → Definir “Tamanho máximo de registo de segurança” para 1 GB e “Método de retenção de registo de segurança” para “Sobreescrever eventos conforme necessário”.

    Abrir “Visualizador de eventos” → Pesquisar os Registos de Segurança do Windows para o ID de evento 4656 com a categoria de tarefa “Sistema de ficheiros” ou “Armazenamento amovível” e com a categoria “Acessos”: String “WriteData”. O “Subject Security ID” irá mostrar quem alterou o ficheiro.

    Executar Auditor Netwrix → Navegar para “Reports” → Expandir o “File Servers” section→ Ir para “File Servers Activity” → Seleccionar “File Server Changes” → Clicar em “View”.

    Para guardar o relatório, clique no botão “Exportar” → Escolha um formato a partir do menu pendente → Clique em “Guardar”.

    Automatizar a Auditoria de Alterações de Ficheiros para Modificações Maliciosas de Pontuação Rápida

    Alterações de ficheiros numa pasta partilhada, tais como a eliminação ou deslocação de ficheiros, podem levar à perda de informação ou mesmo a fugas de dados sensíveis – o que, por sua vez, pode resultar numa redução de receitas, sanções legais e danos para a reputação da organização. Por conseguinte, os profissionais de TI precisam de monitorizar as alterações de ficheiros em pastas partilhadas em servidores de ficheiros baseados em Windows. Uma monitorização abrangente e contínua permite ao pessoal de TI detectar todas as alterações de ficheiros suspeitas em tempo útil e obter os detalhes accionáveis necessários para investigações de segurança.

    1. O Netwrix Auditor for Windows File Servers permite-lhe monitorizar as alterações de ficheiros nos seus servidores de ficheiros baseados em Windows. A aplicação efectua a monitorização de alterações de ficheiros e entrega relatórios com todos os detalhes críticos sobre quem, o quê, onde e quando. A pesquisa de dados interactiva semelhante à do Google dá-lhe a flexibilidade de encontrar informação detalhada sobre determinados utilizadores, tais como todos os ficheiros que tocaram. Esta funcionalidade é particularmente útil quando se trata de investigar actividades de ficheiros suspeitas, tais como todas as alterações de ficheiros na pasta de Contabilidade efectuadas por um determinado funcionário de RH.
    2. A ferramenta Process Monitor (ProcMon) é utilizada para acompanhar a actividade dos vários processos no sistema operativo Windows. Este utilitário permite mostrar como os processos acessam os ficheiros no disco, chaves de registo, recursos remotos, etc., em tempo real. O ProcMon combina as capacidades de dois utilitários antigos Sysinternals de uma só vez – FileMon e RegMon .
    3. Com Process Monitor, pode:
    4. Acompanhar os eventos de arranque e encerramento de processos e threads, incluindo informação sobre o código de saída;
    5. Recolher dados sobre os parâmetros das operações de entrada e saída;
    1. Definir filtros para exibir apenas a informação necessária. Por exemplo, sobre as acções de um processo específico, acesso a um ficheiro específico ou a uma chave de registo;
    2. Registar todas as operações durante o arranque do sistema (processos de arranque, serviços). Isto é útil para o diagnóstico de arranque lento do Windows.

    ProcMon não é um utilitário de sistema incorporado, pelo que deve descarregá-lo manualmente a partir do website da Microsoft. O Process Monitor não requer instalação. Extrair o arquivo e executar o ficheiro executável procmon. exe ( procmon64.exe ) como administrador.

    Quando inicia o Process Monitor pela primeira vez, aparece no ecrã um acordo de licença (EULA) que requer confirmação do utilizador.

    Quando o ProcMon arranca, instala um driver de sistema especial PROCMON20.SYS . Ele intercepta a função do sistema para as seguintes operações: acesso ao sistema de ficheiros, registo, actividade de processo, ligações de rede.

    Utilização do Process Monitor para acompanhar as alterações do ficheiro e do registo

    Neste artigo, mostraremos como rastrear acessos e alterações a ficheiros e registo no seu computador local usando o Process Monitor.

    • Digamos que precisa de rastrear o acesso à chave de registo HKEY_CURRENT_USER\Software\test e ficheiro c:\ps\procmon_example. txt.
    • Quando o Process Monitor inicia, começa a capturar todos os eventos de acordo com os filtros predefinidos.
    • Clear Display).
    • Filtro). Os filtros permitem especificar vários critérios para eventos a serem adicionados ou excluídos da monitorização.

    O filtro predefinido já exclui eventos de uma actividade padrão do sistema Windows e o próprio processo procmon. exe. Na maioria dos casos, não é necessário remover estes filtros. Acrescentaremos alguns filtros adicionais.

    Incluir . Clique em Adicionar para adicionar um novo filtro à lista.

    Inclua.

    Certifique-se de que as seguintes opções estão activadas na barra de ferramentas ProcMon: Mostrar actividade de registo, Mostrar actividade do sistema de ficheiros . As opções Show Network Activity and Show Process, e Threads Activity podem ser desactivadas.

    Capturar Evento.

    Como exemplo, vamos criar uma chave de parâmetro reg na chave de registo especificada, usando o prompt de comando:

    Depois, vamos escrever alguns dados no ficheiro procmon_example. txt usando a linha de comando:

    Stop capturing events by unchecking the option File > Capture Events (Ctrl+E) and clear the current ProcMon log (Edit >E usando o PowerShell:

    Now you need to configure the Process Monitor filters (Filter > RegCreateKey). Também contém eventos de criação (Create File) e escrita num ficheiro (WriteFile) pelos processos cmd. exe e powerhell. exe .

    A lista de eventos contém o processo do sistema msmpeng. exe (Antimalware Service Executable). Este é o processo central do motor de detecção de anti-malware no Windows Defender. Para excluir os eventos deste processo do registo do ProcMon, clique com o botão direito do rato no nome do processo msmpeng. exe e seleccione Excluir “….”. .

    Create a filter for monitoring access to the registry key: Path > contains > \SOFTWARE\test >Este processo será adicionado ao filtro do ProcMon com o valor Exclude. Isto significa que o registo do ProcMon não exibirá qualquer actividade deste processo.

    Now add a file access event filter: Path > is > c:\ps\procmon_example. txt >Desta forma, excluir qualquer outro processo de confiança que esteja a aceder ao seu ficheiro ou chave de registo. Agora, se qualquer processo em execução no Windows tentar ler ou escrever num ficheiro de localização ou chave de registo, verá este evento no Monitor de Processos.

    Drop Filtered Events .

    Start event monitoring File >Por exemplo, quer monitorizar apenas eventos escritos num ficheiro. Clique na janela ProcMon na linha com o tipo de operação WriteFile, e adicione este evento ao filtro Incluir.

    Assim, qualquer objecto ou evento no ProcMon pode ser adicionado aos filtros, para que o conjunto mínimo de eventos que necessita para analisar o acesso a um ficheiro ou registo seja exibido na sua frente.

    Precisa de copiar ficheiros de uma pasta para outra automaticamente? Leia este artigo pacientemente para obter o melhor utilitário automatizado de movimentação de ficheiros no Windows para o ajudar.

    Por Lily / Última actualização 22 de Setembro de 2021

    Switch to the ProcMon window. As you can see, it contains events for creating a registry key by the reg. exe process (Operation >Como é que copio automaticamente ficheiros de uma pasta para outra?

    “Então tenho uma pasta e o que quero fazer é enviar automaticamente tudo o que está guardado nessa pasta para outra.

    Por exemplo, quero que o que quer que vá para a pasta Documentos vá para a minha pasta personalizada no ambiente de trabalho. Sempre que for feito um novo ficheiro, ele irá sempre para lá”.

    Tal como este utilizador, teremos necessidade de copiar regularmente ficheiros de uma pasta específica para outra. Desta forma, podemos não só manter uma cópia de segurança da pasta original, mas também utilizar os ficheiros de um local de acesso mais fácil, como o ambiente de trabalho. No entanto, se a pasta for frequentemente modificada, será necessário muito tempo e esforços para copiar os ficheiros manualmente. Existe alguma forma de monitorizar uma pasta e mover ficheiros automaticamente? Basta continuar a ler.

    Hints . Running Process Monitor can negatively affect the performance of your computer. Regardless of the filters configured, it stores all events in RAM (even if they are not displayed in the window). If ProcMon has been running for a long time, it may take up all the available RAM. You can configure ProcMon to store events not in virtual memory but in a file on disk. To do this, select the File > Backing Files > Use File named , and specify the file name. If you want ProcMon to save only the events that match your filters and drop all the others, enable the option Filter >O melhor utilitário de movimentação automática de ficheiros no Windows

    Para copiar ficheiros de uma pasta para outra automaticamente, o melhor utilitário automático de movimentação de ficheiros-AOMEI Backupper Professional vem para ajudar.

    Oferece quatro modos de sincronização para as suas diferentes necessidades: Basic Sync , Mirror Sync , Real-Time Sync , e Two-Way Sync.

    É-lhe permitido sincronizar ficheiros para pastas locais, pastas partilhadas através da rede, dispositivos NAS ou unidades de nuvem, etc.

    Usando a funcionalidade Schedule, pode definir uma tarefa de sincronização de ficheiros para executar em intervalos fixos. Há cinco modos de agenda que pode escolher: Diário, Semanal, Mensal, Mensal, Disparadores de eventos, e USB plug in.

    Todos os sistemas operativos Windows PC como o Windows 10/8.1/8/7/Vista/XP são suportados. Mostrar-lhe-ei como executar uma tarefa agendada para copiar ficheiros para outra pasta em detalhe a seguir.

    Como monitorizar uma pasta e copiar ficheiros de forma automática e fácil

    Para monitorizar uma pasta e sincronizar alterações para outra pasta sem demora, pode usar a sincronização em tempo real. Os passos estão listados abaixo:

    1. Instalar e executar o AOMEI Backupper. Clique em “Sync” no painel esquerdo e seleccione “Real-Time Sync”.

    2. Nomeie a tarefa para que a possa distinguir de outras tarefas de sincronização. Clique em “Adicionar pasta” para seleccionar a pasta a ser monitorizada.

    3. Seleccione um local de destino para guardar os ficheiros sincronizados.

    4. Clicar no botão “Iniciar sincronização” para realizar a operação.

    Notas:

    Opções: pode escrever um comentário para a sua tarefa de sincronização para que possa descobrir o conteúdo específico da sincronização. Pode também activar aqui a notificação por e-mail. (A notificação por correio electrónico não é suportada em Sincronização em Tempo Real).

    Não modifique o nome da pasta de origem depois de fazer a sincronização de ficheiros, ou o programa já não a pode sincronizar.

    Resumo

    É bastante fácil monitorizar uma pasta e mover ficheiros automaticamente com a ajuda do AOMEI Backupper. Na verdade, é possível sincronizar ficheiros de múltiplas pastas para o caminho de destino numa única tarefa de sincronização. Basta clicar no ícone “+” depois de ter adicionado a primeira pasta de origem. Para além da função File Sync, também lhe é permitido efectuar o backup & restauração do disco rígido quando o Toshiba HDD Recovery não estiver a funcionar. Experimente-o agora para descobrir mais!