วิธีดู Log การเปิดไฟล์บน Windows Server 2022 แบบละเอียด

 ในองค์กรที่ใช้ File Server ร่วมกัน การตรวจสอบว่าใครเปิดไฟล์ เมื่อไร และจากเครื่องไหน เป็นข้อมูลสำคัญสำหรับการตรวจสอบความปลอดภัย การวิเคราะห์ปัญหาข้อมูลรั่วไหล และการติดตามการใช้งานเอกสารสำคัญ

Windows Server 2022 สามารถบันทึก Log การเข้าถึงไฟล์ได้ผ่าน File Auditing ทำให้ผู้ดูแลระบบสามารถตรวจสอบย้อนหลังได้อย่างละเอียด

บทความนี้จะอธิบายวิธีดู Log การเปิดไฟล์บน Windows Server 2022 พร้อมวิธีค้นหา Event ที่เกี่ยวข้องอย่างถูกต้อง

ทำไมต้องดู Log การเปิดไฟล์

ประโยชน์หลัก

• ตรวจสอบการเข้าถึงข้อมูล

• ตรวจสอบข้อมูลรั่วไหล

• วิเคราะห์เหตุการณ์ผิดปกติ

• ตรวจสอบการทำงานของพนักงาน

• รองรับ Compliance

ทีมงาน comsiam มักเปิด Audit เฉพาะโฟลเดอร์สำคัญ เช่น ฝ่ายการเงิน ฝ่ายบุคคล และเอกสารผู้บริหาร

ก่อนดู Log ต้องเปิด Auditing ก่อน

Windows จะไม่เก็บข้อมูลการเปิดไฟล์

หากไม่ได้เปิด

File Auditing

ไว้ก่อน

เปิด Audit Policy

เปิด

gpedit.msc

หรือ

Group Policy Management

ไปที่

Computer Configuration

↓

Windows Settings

↓

Security Settings

↓

Advanced Audit Policy Configuration

↓

Object Access

เปิด Audit File System

เลือก

Success

และ

Failure

อัปเดต Group Policy

gpupdate /force

ตั้ง Auditing ที่โฟลเดอร์

คลิกขวาโฟลเดอร์

↓

Properties

↓

Security

↓

Advanced

↓

Auditing

เพิ่มผู้ใช้งาน

ตัวอย่าง

Everyone

เลือกกิจกรรม

เปิด

Read

เพื่อบันทึกการเปิดไฟล์

เปิด Event Viewer

กด

eventvwr.msc

ไปที่

Windows Logs

↓

Security

Event ID ที่เกี่ยวข้องกับการเปิดไฟล์

Event ID 4663

File Access

ใช้บ่อยที่สุด

Event ID 4656

Handle Requested

Event ID 4658

Handle Closed

วิธีค้นหาเฉพาะการเปิดไฟล์

Filter Current Log

↓

4663

ดูรายละเอียด Event

ภายใน Event จะมีข้อมูล

Account Name

Object Name

Accesses

Date Time

ตัวอย่าง

User: somchai

File: Salary.xlsx

Access: ReadData

ความหมายของ Access Type

ReadData

เปิดอ่านไฟล์

WriteData

แก้ไขไฟล์

Delete

ลบไฟล์

AppendData

เพิ่มข้อมูล

ดู Log ผ่าน PowerShell

ค้นหา Event ล่าสุด

Get-WinEvent `
-LogName Security `
-MaxEvents 50

กรองเฉพาะ Event 4663

Get-WinEvent `
-FilterHashtable @{
LogName='Security'
Id=4663
}

ค้นหาไฟล์เฉพาะ

Get-WinEvent `
-FilterHashtable @{
LogName='Security'
Id=4663
} | Select -First 100

ดูว่าใครเปิดไฟล์อยู่ตอนนี้

PowerShell

Get-SmbOpenFile

ผลลัพธ์

User
File
Session

ดู Session ผู้ใช้

Get-SmbSession

กรณีองค์กรขนาดใหญ่

แนะนำ

Windows Event Forwarding

หรือ

SIEM

เช่น

Microsoft Sentinel

Splunk

ปัญหาที่พบบ่อย

ไม่พบ Event 4663

ตรวจสอบ

Audit Policy

ก่อน

Event เยอะเกินไป

Audit เฉพาะ

Delete
Modify
Read

ในโฟลเดอร์สำคัญ

Security Log เต็ม

เพิ่มขนาด Log

ใน

Event Viewer

Server ช้าหลังเปิด Audit

เกิดจากการ Audit มากเกินไป

ควรจำกัดเฉพาะโฟลเดอร์สำคัญ

แนวทางความปลอดภัยที่แนะนำ

① Audit เฉพาะข้อมูลสำคัญ

② สำรอง Security Log

③ ใช้ SIEM หากองค์กรใหญ่

④ ตรวจสอบ Event ID 4663 เป็นประจำ

⑤ เปิด Shadow Copy

⑥ ใช้ NTFS Permission

⑦ สำรองข้อมูลทุกวัน

ทีมงาน comsiam แนะนำให้เปิด Audit การอ่านไฟล์เฉพาะข้อมูลสำคัญเท่านั้น เพราะหากเปิดกับทุกโฟลเดอร์อาจทำให้ Security Log เติบโตเร็วมาก

Best Practices สำหรับ Windows Server 2022

• เปิด Advanced Auditing

• ตรวจสอบ Event ID 4663

• ตรวจสอบ Event ID 4656

• ใช้ Event Forwarding

• สำรอง Security Log

• เปิด Shadow Copy

• ใช้ร่วมกับ Backup

สรุป

Windows Server 2022 สามารถบันทึก Log การเปิดไฟล์ได้อย่างละเอียดผ่าน File Auditing ช่วยให้ผู้ดูแลระบบทราบว่าใครเปิดไฟล์ เมื่อไร และเข้าถึงข้อมูลใดบ้าง

เมื่อใช้งานร่วมกับ Event Viewer, PowerShell และระบบ Monitoring จะช่วยเพิ่มความปลอดภัยและรองรับการตรวจสอบย้อนหลังในระดับองค์กรได้อย่างมีประสิทธิภาพ