如何找出是誰占用大量硬碟空間？

如何找出是誰占用大量硬碟空間？
到iT邦幫忙

a54sports（iT邦初學者10級）發問：
每個星期一我都會記錄檔案伺服器的容量，今天發現突然少了50GB，請問有什麼方式可以找是誰造成的？

raytracy（iT邦大師4級）：
你的問題其實是分三個部分：

1. 如果你每天做「差異化備份」（Differential Backup），找出備份軟體的每日報表，上面就會列出每天變動的差異，一看就知道。

2. 如果你沒有做「差異化備份」，但每天都有完整備份（Full Backup），那就把前一天的備份掛上來，打開檔案總管，逐一翻閱每一個資料夾來比對。

3. 如果你沒有做備份，但開啟Windows File Server上面的稽核（Audit）功能，　可以把昨天的稽核記錄全部調出來，就可以知道哪些人對檔案做了甚麼事情。

4. 如果你已安裝第三方監控軟體或是硬體側錄機，可以側錄各種檔案進出記錄，那就請監控軟體產出一份昨天的報表，裡面就會記錄所有變動過程。

5. 如果你的儲存體（SAN或是NAS）有定時快照功能，把昨天的快照掛上來，透過檔案總管跟今天的內容逐一比對，也可以找出有差異的地方。

如果你沒有做任何備份，和檔案稽核或快照的功能，是沒辦法知道昨天是誰動了檔案。

alhorn（iT邦初學者10級）：
在該分割區根目錄執行如下指令，或分多個目錄個別執行：
dir /s /a /q /o:-s | findstr 2010/10/20 > a1.log
把上述日期輪換過去的這幾天，內容輸出到a1.log、a2.log等。

檢視各個log中不尋常、大量產生的檔案群名稱。或者匯進Excel排序「檔案大小」欄，可以更便捷地找出元兇。

許多資訊從業人員都是在相當刻苦簡陋的環境下工作，監控軟體、硬體側錄機之類的，恐怕平常就得要老闆全力支援（預算）才行。與其對這類一百年用一次的工具寄予厚望，不如尋找手邊資源來克服。

alanhuangtw（iT邦初學者10級）：
可能看看Securty Event有無稽核物件存取記錄，慢慢找可疑的事件。另外可以用以下的方式防範：

如果你是使用Windows Server 2003 R2以上版本，可以使用內建的「檔案伺服器管理員」做控管，它可以對檔案伺服器的任何資料夾做控管，包含配額管理、檔案檢測等。另外還有存放報告管理，可以設定配額多少並限制檔案類型，而且可以發送郵件警告（要有SMTP伺服器 ）。