Sous Windows 10, j’essaie d’identifier facilement le soft qui me crée un dossier vide “My” sur mon disque D. Mon hypothèse, c’est que le soft essaie de stocker quelque chose dans “My Documents” mais se vautre à cause de l’espace. Mais comme il ne stocke rien dans le dossier en question, impossible de savoir d’où ça vient, à part lancer chaque logiciel installé et voir à quel moment il apparaît.
Je me dis qu’il y a peut-être plus simple, donc si vous avez des suggestions, je suis preneur.
Pas plus facilement a priori qu’en utilisant la méthode du “je lance tout et on voit”. En tous cas, j’ai rien trouvé dans les logs classiques qui corresponde à la dernière fois où le dossier a été créé.
Je me dis qu’il doit y avoir l’info quelque part (base de registres ?) mais je ne sais absolument pas où chercher.
Je ne trouve pas pour windows 10…
Je le fais par GPO généralement et là à la main cela ne semble pas fonctionner.
En théorie, tu vas sur ton répertoire, clic droit, propriété, sécurité, audit et là tu choisis l’audit réussite de création de répertoire.
Normalement ça devrait alors remonter toutes les créations de rep à cet endroit, dans l’eventlog au niveau sécurité mais je ne sais pas pq cela ne remonte pas, peut être une limitation de windows 10 home ? je ne sais pas, je continuerai à chercher plus tard.
Bon c’est bien ça, windows 10 home fait chier… du coup j’ai bidouillé un gpedit de 7 et ça a l’air de marché.
mais avec la version pro tu dois pouvoir le faire directement
il faut activer l’audit des objets via gpedit.msc : computer management \ windows settings \ parametres de securité \ strategies locales \ strategie d’audit \ Auditer l’acces aux objets : Réussite
ensuite tu refais ce que je t’ai dis au dessus et tu as ça dans les logs apres :
Ouais enfin, payes ton cout aussi. Ils ont viré l’ecriture de la derniere date de modif sur les derniers windows parce que ca avait un cout delirant, la, c’est encore pire. Pour bien se representer le volume que ca represente a un instant T, je vous invite a lancer Process Monitor (ProcMon)
Juste le volume de ce qui est fait chaque seconde sur un PC est hallucinant. Si tu veux monitorer ce genre de truc en permanence (ou a posteriori), c’est a activer au cas par cas ces tricks la, au risque de serieusement ralentir la machine.
Et donc la reponse est, de base non, a posteriori non, mais si tu veux tester a un moment T, lance procmon avant (ma preference en terme de simplicité et d’efficacité quand tu filtres au max, genre sur un folder ou autre), ou active des GPO bien velues et fouines dans les logs de l’event viewer (sur lequel tu peux filtrer avec LogFusion).
Regardez si c’est pas lié à vos bibliothèques (un dossier lié ou du genre) ou alors via un soft de synchro type media player, etc. J’avais eu quelque chose du genre, avec une synchro de musique je crois.
Bon, le mystère s’épaissit : le dossier est a priori recréé toutes les nuits à 1:10 du mat. J’ai bien évidemment checké l’event viewer, le task scheduler et les logs, et je n’ai rien trouvé de concluant à cette heure précise. Est-ce qu’il y a une règle simple que je peux mettre en place dans ProcMon avec cette nouvelle information pour identifier le coupable ?