标题: 求监视命令 [打印本页]

---

作者: warmoon     时间: 2006-3-11 16:16    标题: 求监视命令

请教各位大侠：如果要监视用户对某个盘的文件写入，可以有哪些做法。先行谢过啦！

---

作者: warmoon     时间: 2006-3-11 16:50
举例： 我在自己的D盘 复制粘贴了"dd.mp3"，请问如何可以用DOS命令来记录这一过程。谢谢大家啦！

---

作者: chenall     时间: 2006-3-11 19:16
感觉使用DOS命令即使实现了效率也不高.
可以试试
dir和fc命令配合来实现
dir /s/b/a 将当前的文件列表保存一个文件如 dir1.txt.
一定时间后再使用该命令保存到另外一个文件中如 DIR2.TXT.
再使用FC比较差异处.fc dir1.txt dir2.txt

[ Last edited by chenall on 2006-3-11 at 19:20 ]

---

作者: warmoon     时间: 2006-3-11 19:30
恩，好办法，强！谢谢拉！
加工一下作成*.bat就可以实现实时查询啦，哈哈

---

作者: JonePeng     时间: 2006-3-12 00:43
FileMon 的实时监控更严密更全面。

---

作者: 3742668     时间: 2006-3-12 01:14
按二楼的方法那个准确性和效率很是值得怀疑。。。
对于监控一类的事情来说最好是用VBS脚本来完成，虽然命令行下也有监视事件的工具但是效果不是很理想，碰到这种情况而又不想用第三方工具的时候可以试试VBS，它在很多方面要比CMD要强大。。
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & _
        strComputer & "\root\cimv2")
Set colMonitoredEvents = objWMIService.ExecNotificationQuery _
    ("SELECT * FROM __InstanceDeletionEvent WITHIN 10 WHERE " _
        & "Targetinstance ISA 'CIM_DirectoryContainsFile' and " _
            & "TargetInstance.GroupComponent= " _
                & "'Win32_Directory.Name=""c:\\\\myscripts""'")
Do
    Set objLatestEvent = colMonitoredEvents.NextEvent
    Wscript.Echo objLatestEvent.TargetInstance.PartComponent
Loop

保存为以vbs为后缀的文件然后运行，它能监视C:\myscripts文件夹下的删除事件，要想监视该文件夹下的创建事件的话只需要把 第六行的__InstanceDeletionEvent  改为__InstanceCreationEvent 即可。

---

作者: lycwu     时间: 2006-5-8 20:18
强人啊