Как отследить изменения файлов в папке

Мало кто знает о том что можно отследить все изменения как файлов та и папок, удаление, создание, изменение, переименование и т.д. Можно даже узнать кто из пользователь это делал. Вариантов с помощью которых можно реализовать эту задачу очень много, от использования стандартных функций до специализированного программного обеспечения. Настроить все это дела средствами Windows достаточно сложно, более менее профессиональный софт платный. Я же вам хочу рассказать о золотой середине, которой сможет пользоваться даже простой пользователь. Это небольшая бесплатная программа которая поможет отследить изменения файлов в папке.

Как узнать кто когда и какие файлы и папки изменял

Называется эта программа FolderChangesView, ссылку на её скачивание найдете в кончен статьи. Программа бесплатная с простым и понятным интерфейсом. Правда есть один нюанс она не русифицирована. Но думаю сейчас это уже не проблема.

Запускаем программу и копируем путь до отслеживаемой папки с файлами. Отмечаем первый пункт «Monitor all subfolders inder the specified folders».

Теперь попробуем создать новый документ.

Программу тут же заменить новый файл и отобразит его в истории изменений. Вы сможете узнать, имя нового файла, кто создал (при учете если у вас каждый пользователь заходит под своей учетной записью), время и дату.

Дальше попробуем что нибудь удалить.

Эти изменения так же отразятся в программе и вы сможете узнать кто, когда и какой файл удалил.

Если попробовать изменить какой нибудь файл например, текстовый документ.

Вот таким образом можно отслеживать изменения в файлах и папках. Программа подойдет для локального использования. Для отслеживания изменений скажем на сетевых ресурсах лучше использовать что посерьезней.

Кто изменил файл windows

Юрий aka qwerty » 23 ноя 2002, 05:22

Андрей Тр. aka RH » 23 ноя 2002, 07:17

ИМХО никак, если аудит предварительно не был настроен. Как тут уже где-то раньше писал Сергей Дубров, с файлом хранятся лишь даты ( создания, модификации ) и имя владельца. При удалении хранится имя удалившего.

У нас вот еще Recent Files у каждого — один из каталогов, перенаправленных в домашний каталог ( скрытый, поэтому юзеры как каталог его не видят ). Поэтому практически все открываемые файлы помещаются туда в хронологическом порядке ( ссылки на них, разумеется ). А править Recent через Виндоуз у пользователя прав нет. Но аудит это не заменит, конечно .. хотя нормальный аудит сжирает ресурсы только так.

Я говорил не совсем так 🙂

Сергей Дубров » 23 ноя 2002, 11:23

Вообще-то я писАл как раз обратное — у каждого файла хранится и владец и модификатор и архиватор, но штатными средствами смотреть их (кроме владельца) — неудобно (nwadmin32 — та ещё «птичка», пока взлетит). Вот одна из утилит г-н Baird-а легко позволяет это сделать:

Path _______________________ Owner ___ Updater __ Archiver

Re: Я говорил не совсем так 🙂

Андрей Тр. aka RH » 23 ноя 2002, 13:39

Согласен, про «хранятся» я маху дал. Но все же «неудобно» или «невозможно» ? Все же вещи разные. Я вот сходу не припомню, как вообще штатными средствами просмотреть модификатора .. Кстати, а та утилита из какого набора г-на Baird’a — бесплатного или за деньги ?

Я еще как-то спрашивал, что именно в данном контексте считается модификацией — изменение ( или просто доступ ? ) содержимого файла, или даже изменение его атрибутов или имени ? Заодно вопрос — архиватор, этот тот, кто меняет соответствующий атрибут .. и все ?

Re: Я говорил не совсем так 🙂

Сергей Дубров » 23 ноя 2002, 15:13

Согласен, про «хранятся» я маху дал. Но все же «неудобно» или «невозможно» ? Все же вещи разные. Я вот сходу не припомню, как вообще штатными средствами просмотреть модификатора ..

NWADMIN32, закладка Facts в свойствах файла.

меняет модификатора, но оставляет прежним владельца. Довольно часто в сетевом каталоге со всеобщим доступом, видел вордовские файлы (.DOC), у которых владелец не совпадал с модификатором, т.е., word тоже умеет модифицировать файл, а не полностью переписывать.

Нет, сейчас специально проверил — whodidit показывает того же архиватора, что и был, после ручного снятия архивного бита:

J:\TMP\eksta>flag *.txt
.
PHONES.TXT [Rw—A] [——————] .Kyrpotin.C. N/A

J:\TMP\eksta>flag *.txt -a /fo
.
PHONES.TXT [Rw—-] [——————] .Kyrpotin.C. N/A

Насколько я помню, архиватор устанавливался даже у файла, у которого бит «A» не сбрасывался, именно после того, как его забэкапил наш arcserver. Проверить точно смогу теперь только во вторник утром, т.к. в ночь с пятницы на субботу у нас прошёл полный бэкап со сбросом архивных битов, а первый инкрементный бэкап (который не трогает A-бит) состоится в ночь с понедельника на вторник.

Юрий aka qwerty » 23 ноя 2002, 16:10

Андрей Тр. aka RH » 23 ноя 2002, 17:20

Разумеется, речь про файлы на томе Netware.

Да, неудобно как-то у вас получилось .. но ИМХО с таким же успехом можно винить отдел кадров — что в фирме работают подобные уроды, службу безопасности — что не могут их выявить. А ИТ, теоретически, можно собрать имеющуюся информацию в кучку и посмотреть, что с ней можно сделать. Время отправки письма там, хедер у него просмотреть .. если по горячим следам, то можно также глянуть last login time у народа. Не зная подробностей вашей сети и ситуации трудно что-то конкретное советовать.

P.S. Да, для оправданий перед клиентом надо все списывать на хакеров или на вирус .. мол, lovebug a la rus

Edward Ivanov aka Ed111 » 24 ноя 2002, 16:46

Михаил Карпенко » 25 ноя 2002, 15:00

Музалёв Николай » 25 ноя 2002, 16:29

Отслеживание изменения файлов и папок в Windows

Отслеживание изменения файлов

Если вы не единственный пользователь вашего компьютера и вам необходимо выяснить, какие изменения произошли с вашими файлами и папками за определенный период времени, вы можете воспользоваться специальными программами которые помогут вам отследить изменение файлов и получить точную информацию о всех изменениях файловой системы Windows.

Как отследить изменения файла и папки?

В рамках данной статьи я познакомлю вас с двумя программами. С программой FolderChangesView и с утилитой Disk Pulse. Обе программы являются бесплатным. Программа FolderChangeView полностью бесплатна. Disk Plus имеет бесплатную и платную версию (различий немного)

FolderChangesView: Отслеживание изменения папок и файлов

FolderChangesView — маленькая бесплатная утилита для отслеживания всех изменений происходящих с файлами в определенной папке и разделе жесткого диска.

Утилита в реальном времени сканирует заранее заданную папку или группу папок и отображает подробную информацию о всех изменениях. Весь результат представляется в удобной таблице.

Для начала необходимо скачать программу. Скачать FolderChangesView бесплатно с сайта разработчика вы можете по этой ссылке. Там же можно скачать русификатор, который необходимо разархивировать и бросить в папку с программой.

Настройка FolderChangesView

Программа не требует установки. После запуска программы появится окно настроек.

Отслеживание изменения файлов программой FolderChangesView

В окне настроек необходимо указать папку, несколько папок или раздел жесткого диска, который вам необходимо мониторить. В данном случае я выбрал папку — spysoftnet и отметил галочкой Сканировать также подкаталоги

В второй строке окна настроек вы можете установить папки, которые вы не хотите чтоб программа отслеживала. К примеру, я не хочу чтоб приложение следило за изменениями в папке — tmp. После того как вы установили папку, не забудьте отметить галочкой Exclude the folowing folders .

Также, вы можете установить минимальный и максимальный размер файла. После того как все настройки выбраны нажимаем на OK

Disk Pulse: Программа мониторинга файлов и папок

DiskPulse — еще одна программа мониторинга файлов, папок и жестких дисков, которая может показывать изменения в файловой системе Windows в режиме реального времени.

DiskPulse: Как отследить изменения файла и папки

В программе есть очень интересная, на мой взгляд, возможность отправки уведомлений по электронной почте или выполнения пользовательских команд (действий), в случае обнаружения всевозможных опасных критических изменений в системе .

Если вы оставите все настройки, которые установлены по умолчанию как есть, то будете получать информацию обо всех изменениях всей системы. Но если немного поковыряться в опциях, то сможете уменьшить количество данных. На картинке внизу вы видите как с легкостью с помощью нескольких кликов можно это сделать.

DiskPulse: Выбор папки или жесткого диска

В последней версии добавлена диаграмма, отображающая количество файлов, их типы и другую полезную информацию.

DiskPulse: Программа мониторинга файлов и папок

Скачать DiskPulse бесплатно с сайта разработчика вы можете по этой ссылке.

Подведем итоги. Обе программы отлично работаю и справляются с основной функцией мониторинга файлов и папок и достойны внимания. Программа «FolderChangesView» программа мне понравилась больше. Хотя вторая программа более функциональна. Программы бесплатны и не содержат вирусов, поэтому попробуйте обе и решите сами какую использовать.

В этот обзор не вошли еще 2 программы мониторинга файлов и папок. На которые я сделаю обзор в следующей статье. Поэтому, чтобы не пропустить обновления, подписывайтесь на наш паблик вконтакте и других социальных сетях.

Простой поиск недавно измененных файлов в Windows

Чтобы найти в Windows все что угодно, достаточно ввести в строке поиска какое-нибудь ключевое слово, связанное с нужным файлом. Система быстро просканирует все папки и выдаст список результатов, соответствующих запросу. В этой статье мы расскажем, как найти недавно измененные файлы.

Иногда бывает нужно посмотреть, какие файлы были недавно созданы или изменены – например, потому что кто-то посторонний установил без спросу ненужную программу, или просто требуется найти документ, измененный на прошлой неделе, а название файла и папки напрочь забыты. В Windows есть удобные средства поиска, позволяющие быстро получить список всех недавно созданных или измененных файлов.

О метках времени

У каждого файла есть одна или несколько меток времени, с помощью которых операционная система отмечает, когда файл был создан, последний раз изменен или открыт. В Windows эта информация записывается для каждого отдельного файла или папки.

Время файла – 64-битный параметр, означающий количество промежутков по 100 наносекунд, минувших с 1 января 1601 года (UTC). Преобразование из этого внутрисистемного формата в вид, более удобный для человеческого восприятия, происходит при обращении Windows к метке файла. Система извлекает из нее информацию о годе, месяце, дне, часах, минутах, секундах и миллисекундах. Файловая система NTFS хранит значения времени в формате UTC, поэтому на них не влияют изменения часового пояса, переход с зимнего времени на летнее и обратно.

Системные метки времени, конечно, не застрахованы от ошибок и изменений, но очень полезны во множестве ситуаций, от вычисления даты проведения той или иной бизнес-транзакции до сбора улик в рамках полицейского расследования.

Дата создания (Date Created) – это дата и время создания выбранного файла. Это значение записывается однократно и, как правило, не изменяется – разве что с использованием сторонних утилит.

Дата изменения (Date Modified) – это дата и время последней перезаписи файла, т. е. последнего изменения его содержимого. Переименование файла не отражается на дате изменения, так же как и открытие файла без внесения изменений.

Дата доступа (Date Accessed) – это дата (а на томах NTFS еще и время) последнего доступа к файлу для чтения или записи.

Как смотреть метки времени в Проводнике

Если хочется посмотреть метки времени для всех файлов, папок и подпапок в определенном каталоге, сделать это можно в Проводнике (File Explorer). По умолчанию показываются только дата и время изменения. Если требуется также узнать дату создания и последнего доступа, нужно изменить настройки представления.

Откройте Проводник и выберите вид «Таблица» (Details). По умолчанию отображаются столбцы «Имя» (Name), «Размер» (Size), «Тип» (Type) и «Дата изменения». Нажмите правой кнопкой мыши на любом из них и выберите в контекстном меню пункт «Дата создания».

Затем выберите команду «Подробнее» (More), отметьте в появившемся списке пункт «Дата доступа» и нажмите «OK». Теперь отсортируйте столбцы по убыванию, чтобы увидеть все недавно измененные файлы.

Как найти недавно измененные файлы поиском

Для поиска недавно измененных файлов можно использовать фильтр «датаизменения:» (datemodified:). Откройте в Проводнике папку, внутри которой вы хотите найти измененные файлы, либо раздел «Этот компьютер» (This PC), чтобы искать по всей системе. В строке поиска введите «датаизменения:» (без кавычек). Появится окошко с предложением выбрать дату или диапазон.

Для самых стандартных сценариев поиска есть предустановки «Сегодня» (Today), «Вчера» (Yesterday), «На этой неделе» (This week), «На прошлой неделе» (Last week) и т. д. Поскольку нас интересуют недавно измененные файлы, можно использовать одну из этих предустановок либо ввести в поле поиска «датаизменения:сегодня» («вчера», «наэтойнеделе», «напрошлойнеделе» и т. п., без кавычек). Windows начнет искать подходящие файлы и выводить их в результатах поиска.

По умолчанию система показывает последние измененные файлы только в индексируемых расположениях. Чтобы включить в результаты и те папки, которые не индексируются, нажмите на вкладке «Поиск» (Search Tools) кнопку «Дополнительные параметры» (Advanced options) и выберите пункт «Системные файлы» (System files). Каждый раз включать в поиск системные файлы не обязательно, но в некоторых ситуациях это может пригодиться.

Допустим, вы нечаянно нажали не ту кнопку при установке программного обеспечения и через некоторое время обнаружили, что на рабочем столе появились лишние ярлыки или в браузере добавилась какая-нибудь странная всплывающая панель. Ненужные файлы легко найти, посмотрев список последних созданных или измененных.

Если вы не против использования клавиатуры, можно просто ввести в строке поиска определенный запрос. Например, чтобы найти все файлы, измененные с 6 по 7 июня 2015 года, достаточно ввести «датаизменения:дд/мм/гг..дд/мм/гг» (без кавычек, в английской версии – «datemodified:Mm/Dd/Yy..Mm/Dd/Yy», две точки между датами обязательны).

Сохранение условий поиска

Потратив кучу времени на составление правильных условий поиска, не хочется потом возиться с этим заново, если опять понадобится найти последние измененные файлы. К счастью, Windows позволяет сохранять условия поиска в специальный файл с расширением «.search-ms».

Чтобы это сделать, на вкладке «Поиск» нажмите кнопку «Сохранить условия поиска» (Save search). Введите подходящее имя для файла и сохраните его. Если не выбирать расположение файла вручную, то ссылка на него появится в разделе «Избранное» (Favorites) в панели навигации Проводника.

Результаты поиска можно дополнительно сортировать, систематизировать и группировать – например, по дате создания или по присвоенным меткам. После сохранения условий поиска можно создать копию этого файла – в целях резервного копирования или чтобы поделиться с коллегой.

Как видите, в Windows очень легко узнать, какие файлы были недавно изменены. В сочетании с расширенными инструментами поиска это позволяет быстро найти любую необходимую информацию, и помнить для этого имя или адрес файла вовсе не обязательно.

Автор: Rahul Saigal
Перевод SVET

Оцените статью: