Надо настроить аудит только на одну папку, посмотреть кто и какие операции с файлами из этой папки производит.
Запускаю auditcon.
Включаю на томе аудит, захожу в auditing configuration, audit by event, audit by file event там выставляю за какими событиями надо следить. Затем auditing configuration, audit by file /directory, выбираю какую папку надо отслеживать.
Однако в файл аудита пишутся события по всем файлам, хотя на остальных файлах и папках стоит off.
Как правильно настроить правила аудита?