Win10怎么查看共享文件夹访问记录 Win10事件查看器追踪用户操作痕迹【排查】

需手动启用对象访问审核策略并配置文件夹审核，再通过事件查看器筛选ID 4663日志、PowerShell导出、net session/openfiles实时检查或域环境GPO集中审计来追溯Windows 10共享访问。

如果您尝试追溯某台Windows 10计算机上共享文件夹被谁在何时访问过，系统默认不会自动开启详细审计，需手动启用相关策略并依赖事件查看器捕获操作痕迹。以下是可立即执行的排查路径：

一、启用对象访问审核策略

Windows必须预先配置安全策略，才能记录对共享文件夹的读取、写入、删除等操作。未启用该策略时，事件查看器中将完全无对应日志生成。

1、按下Win+R组合键，输入gpedit.msc并回车，打开本地组策略编辑器（仅限专业版/企业版）。

2、依次展开：计算机配置 → Windows设置 → 安全设置 → 本地策略 → 审核策略。

3、双击“审核对象访问”，勾选“成功”和“失败”两项，点击确定。

4、右键单击需监控的共享文件夹，在“属性→安全→高级→审核”中添加Everyone或具体用户，并勾选“读取属性”“读取数据”“写入数据”等所需审核项。

二、通过事件查看器筛选4663事件

事件ID 4663代表“已访问对象”，是唯一能反映共享文件被实际打开、读取或修改的关键日志类型。该事件仅在启用审核策略且目标文件夹配置了审核条目后才会生成。

1、按Win+R输入eventvwr.msc，打开事件查看器。

2、左侧导航至：Windows日志 → 安全。

3、右侧点击“筛选当前日志”，在“包含事件ID”框中输入4663，点击确定。

4、在结果列表中，双击任一4663事件，查看“详细信息”选项卡下的“Subject”字段（操作用户）、“Object Name”字段（被访问的完整路径）、“Accesses”字段（执行的操作类型，如ReadData、WriteData）。

三、使用PowerShell快速导出近期共享访问日志

当需批量分析或导出特定时间段内的访问记录时，PowerShell可绕过图形界面直接提取结构化数据，避免人工逐条翻查。

1、以管理员身份运行PowerShell。

2、执行以下命令，获取过去24小时内所有4663事件：

标签： windows 计算机 access win10 ssl session csv win 配置文件 会话管理 csv文件