Наблюдение за файловыми операциями в ОС Windows

Наверняка, любой тестировщик знает способы отслеживания изменений в файлах. Но, скорее всего, не каждый знает о том, как проследить за операциями чтения, при которых никаких изменений в файловой системе не происходит. Я, к своему стыду, до недавних пор тоже об этом не знал. Не знал ровно до того момента, пока у меня не возникло необходимости выяснить кто, когда, сколько раз и к каким файлам обращался. После обследования Resource Monitor'а, скачивания парочки бесполезных программ, попытки написания собственного скрипта и пяти минут отчаяния, выяснилось, что эта проблема прекрасно решается стандартными средствами. Впрочем, как всегда

Итак, чтобы проследить за операциями чтения (и не только чтения), нужно сделать следующее: 

1. Включить аудит доступа к файлам в политиках безопасности. (Control Panel > Administrative Tools > Local Security Policy > Local Polices > Audit Policy > Audit Object Access)

2. Найти нужный файл (папку) и добавить в его свойствах необходимые правила аудита. (Properties > Security > Advanced > Auditing)

Например, если вы хотите наблюдать за операциями чтения производимыми любым из локальных пользователей, то необходимое правило будет выглядеть вот так:

3. Открыть Security Log в Event Viewer  и смотреть в оба (Control Panel > Administrative Tools > Event Viewer)

 Для того, чтобы слегка упростить задачу, можно создать отдельный фильтр для интересующих вас событий, например, такой:

Все, теперь можно не спеша просматривать отфильтрованные записи:

З.Ы. Описывая подобные заморочки все больше склоняюсь к тому, чтобы все-таки полистать, хотя бы, пару книжек по администрированию