如何查找指定文件被删除的记录？

首先要记录到个人最好是在域环境内；

在文件服务器运行输入gpedit.msc

2.依次选择“计算机配置”—“Windows设置”—“安全设置”—“高级审核策略配置”—“系统审核策略”—“对象访问”—“文件审核系统”

3.双击“审核文件系统”，勾选“成功”

4.前往需要审核的文件夹，右键选择“属性”—“安全”—“高级”—“审核”—“添加”

5.一般来说这里选择domain users 或者everyone（没加域）

6.点击“确定”—“显示高级权限”—勾选红框内容

7.然后再管理工具中找到“事件查看器”—“Windows日志”—“安全”

8点击右侧“筛选当前日志”—“所有事件ID”中输入4663来查找所有的删除信息

9.要查找对应文件夹的删除者在右侧选择“查找”—输入被删除文件的文件名，最好是带路径的

10.图中我们可以看出这个路径下的文件是10239用户做出的删除操作。