Hola
Para monitorear las actividades de copia de archivos en su Windows Server, puede seguir estos pasos:
Configure la política de auditoría “Auditar acceso a objetos”:
Abra la consola de administración de políticas de grupo (puede ejecutar gpmc.msc).
Cree un nuevo GPO y vincúlelo al dominio que contiene el servidor de archivos o edite un GPO existente vinculado al dominio correspondiente.
Navegue hasta Configuración de la computadora ➔ Configuración de Windows ➔ Configuración de seguridad ➔ Políticas locales ➔ Política de auditoría.
Haga doble clic en Auditar acceso a objetos y seleccione las casillas de verificación Éxito y Fallo.
Habilite la auditoría de archivos y carpetas:
Localice el archivo o carpeta específica que desea rastrear.
Haga clic derecho sobre él y elija Propiedades.
Vaya a la pestaña Seguridad y haga clic en Avanzado.
En Configuración de seguridad avanzada, navegue hasta la pestaña Auditoría.
Haga clic en Agregar para crear una nueva entrada de auditoría.
Especifique los usuarios cuyo acceso desea auditar (puede utilizar "Todos" para todos los usuarios).
Elija los tipos de permisos que desea auditar (por ejemplo, leer, escribir, eliminar).
Guarde los cambios.
Ver registros de auditoría en el Visor de eventos:
Cada vez que un usuario acceda al archivo o carpeta seleccionado, se registrará un registro de eventos en el Visor de eventos.
Abra el Visor de eventos y vaya a Registros de Windows ➔ Seguridad.
Filtre los registros utilizando los ID de evento 4656 y 4663, que indican el acceso a archivos/carpetas.
Verá detalles como el nombre de la cuenta del usuario y la hora de acceso.
Recuerde revisar periódicamente los registros de auditoría para realizar un seguimiento de cualquier actividad de copia de archivos sospechosas. Además, considere utilizar herramientas de terceros como Lepide File Server Auditor o ADAudit Plus para un monitoreo más completo.