Synology Active Insight File Activity 实操指南：从文件监控到合规审计

在使用 Synology NAS 管理文件时，企业用户常面临 “文件被误删却找不到操作人”“敏感文档权限被改不知原因” 的合规审计痛点，个人用户也会遇到 “照片被移动却记不清路径” 的困扰 —— 而Synology Active Insight File Activity功能正是解决这些问题的核心工具。它能实时监控 NAS 文件的 “创建、修改、删除、重命名、权限变更” 等操作，记录操作人、时间、客户端 IP、访问协议（如 SMB、FTP）等关键信息，比 DSM 普通日志更聚焦文件活动，还支持可视化筛选与合规报告导出。本文基于 Synology 官方技术文档，系统拆解 File Activity 的功能价值、启用步骤与实战应用，帮你 1 小时内掌握文件活动监控与溯源能力。

在动手配置前，需先明确 File Activity 的本质的定位，避免与 DSM 普通日志混淆，理解其不可替代的价值。

Active Insight 是 Synology DSM 的设备监控套件，而File Activity 是其下的子功能，专门用于：

• 追踪 NAS 中所有共享文件夹的 “文件级操作”（区别于系统级操作如开机、套件安装）；

• 记录每一次操作的 “全维度信息”：操作人（DSM 用户名）、操作时间（精确到秒）、操作类型（创建 / 修改 / 删除等）、文件路径、客户端 IP（操作设备的 IP）、访问协议（SMB/FTP/HTTP 等）、操作结果（成功 / 失败）；

• 支持 “长期存储与快速检索”：默认保留 90 天记录（可自定义），远超 DSM 普通日志的 7 天默认保留期，且筛选维度更精准。

简单来说，普通日志是 “系统操作大杂烩”，而 File Activity 是 “文件操作专项账本”，更适合文件溯源与审计。

很多用户疑惑 “有了 DSM 日志，为什么还要用 File Activity？”，以下表格清晰展示两者差异：

不同用户群体对 File Activity 的需求不同，以下是最常见的场景，帮你明确使用目标：

• 企业合规审计：金融、医疗等行业需按法规（如 ISO 27001、HIPAA）保留文件访问记录，File Activity 导出的报告可直接作为审计凭证；

• 异常操作排查：文件突然丢失 / 修改，通过筛选 “删除 / 修改” 操作 + 时间范围，快速定位操作人与设备，判断是误操作还是恶意行为；

• 权限变更追踪：敏感文件夹（如财务数据）权限被未授权修改，通过 “操作类型 = 权限变更” 筛选，找到变更人并追溯原因；

• 个人文件溯源：家庭用户的照片、视频被移动，通过 “操作类型 = 重命名 / 移动”+ 文件路径关键词，找到新路径。

File Activity 需依赖特定的 DSM 与 Active Insight 版本，且需正确配置监控范围，跳过准备易导致 “无记录” 或 “记录不全”。

File Activity 功能仅在以下版本中支持，旧版本需升级：

• DSM 版本：需 DSM 7.0 及以上（推荐 DSM 7.2.1+，修复了早期版本的记录延迟问题）；

• Active Insight 版本：需 Active Insight 2.0 及以上（低于此版本无 File Activity 模块）；

• 检查方法：

1. 1. 登录 DSM→「控制面板→信息中心」确认 DSM 版本；

1. 2. 进入「套件中心→已安装」，找到 “Active Insight”，点击 “关于” 查看版本；

• 升级方法：

1. 1. DSM 升级：「控制面板→更新与还原→立即检查更新」；

1. 2. Active Insight 升级：「套件中心→已安装→Active Insight→更新」（若有更新按钮）。

若未安装 Active Insight，需先完成安装与基础配置：

1. 进入「套件中心→所有套件」，搜索 “Active Insight”，点击 “安装”（免费套件，无需付费）；

2. 安装完成后，打开 Active Insight，首次使用需同意用户协议，点击 “开始使用”；

3. 进入「Active Insight→设置→设备」，确认当前 NAS 已被添加到监控列表（默认自动添加，状态显示 “正常”）。

默认情况下，File Activity 不会监控所有共享文件夹，需手动指定监控范围，避免 “想监控的文件夹没记录”：

1. 打开 Active Insight，点击左侧「设置→文件活动」；

2. 在「监控范围」模块，点击「编辑」；

3. 勾选需监控的共享文件夹（如 “财务数据”“人事档案”“家庭照片”），建议：

• • 企业用户：勾选所有敏感文件夹，排除临时文件共享（如 “Downloads”）；

• • 个人用户：勾选常用文件夹（如 “Pictures”“Documents”）；

4. 点击「应用」，系统会提示 “监控范围已更新，将在 5 分钟内开始记录”（无需重启，等待生效）。

关键提醒：若共享文件夹后续新增子文件夹，File Activity 会自动监控子文件夹，无需重新配置；若删除已监控的共享文件夹，记录会保留，不影响历史数据。

这部分是实操重点，从 “查看记录” 到 “筛选排查” 再到 “导出报告”，每一步都标注具体操作位置与技巧，确保零技术基础用户也能跟随操作。

1. 登录 DSM，打开「Active Insight」套件；

2. 点击左侧导航栏的「文件活动」标签页（位于 “设备状态”“性能分析” 之后，图标为文件夹 + 时钟）；

3. 进入页面后，默认显示 “近 24 小时所有文件活动记录”，按操作时间倒序排列（最新操作在顶部）。

默认显示所有记录会信息杂乱，需通过筛选快速找到目标操作，以下是 6 个常用筛选维度的具体操作：

• 场景：找 “昨天 14:00-16:00” 的文件删除记录；

• 操作：

1. 1. 点击顶部「时间范围」下拉框，默认选项有 “近 1 小时”“近 24 小时”“近 7 天”“近 30 天”；

1. 2. 若需自定义时间，选择 “自定义”，在弹出窗口设置 “开始时间”（如 2025-05-20 14:00）和 “结束时间”（2025-05-20 16:00），点击「确定」；

1. 3. 筛选后，页面仅显示该时间段内的记录。

• 场景：找 “用户 user1” 最近的文件修改记录；

• 操作：

1. 1. 点击「操作人」下拉框，选择目标用户（如 “user1”，列表显示所有 DSM 用户，含管理员 admin）；

1. 2. 若用户较多，可在输入框搜索用户名（如输入 “use” 快速定位 “user1”）；

1. 3. 应用后，仅显示该用户的所有操作记录。

• 场景：排查 “文件删除” 操作，找丢失的文档；

• 操作：

1. 1. 点击「操作类型」下拉框，可多选操作类型，常用类型包括：

• • • 创建：新建文件 / 文件夹；

• • • 修改：编辑文件内容、修改文件属性（如备注）；

• • • 删除：删除文件 / 文件夹（含彻底删除、放入回收站）；

• • • 重命名：修改文件 / 文件夹名称；

• • • 移动：更改文件 / 文件夹路径；

• • • 权限变更：修改文件 / 文件夹的访问权限；

1. 2. 勾选 “删除”，点击「应用」，页面仅显示所有删除操作。

• 场景：找 “财务数据 / 2025Q1 报表.xlsx” 的所有操作记录；

• 操作：

1. 1. 点击「文件路径」输入框，粘贴或输入目标文件 / 文件夹的路径（如 “/volume1 / 财务数据 / 2025Q1 报表.xlsx”）；

1. 2. 支持模糊匹配，输入 “2025Q1 报表” 即可筛选所有包含该关键词的文件记录；

1. 3. 点击「搜索」，显示该文件的所有操作（如谁修改过、谁移动过）。

• 场景：找 “IP 为 192.168.1.105 的设备” 的文件操作记录（怀疑该设备有异常操作）；

• 操作：

1. 1. 点击「客户端 IP」输入框，输入目标 IP（如 “192.168.1.105”）；

1. 2. 点击「应用」，显示该设备的所有文件访问记录，可结合操作类型进一步筛选。

• 场景：找 “通过 FTP 协议上传的文件” 记录（排查匿名 FTP 上传的异常文件）；

• 操作：

1. 1. 点击「协议」下拉框，选择 “FTP”（其他选项包括 SMB、HTTP、AFP 等）；

1. 2. 应用后，仅显示通过 FTP 协议进行的文件操作。

技巧：多维度组合筛选效率更高！例如 “时间范围 = 近 24 小时 + 操作类型 = 删除 + 操作人 = user2”，可快速定位 user2 昨天删除的文件。

筛选出目标记录后，需查看详细信息判断操作是否正常：

1. 在筛选后的记录列表中，点击任意一条记录的「详情」按钮（右侧小箭头图标）；

2. 弹出的详情窗口包含 6 类关键信息，以 “删除操作” 为例：

• • 基本信息：操作时间（2025-05-20 15:30:22）、操作人（user2）、操作类型（删除）、结果（成功）；

• • 文件信息：原路径（/volume1 / 财务数据 / 2025Q1 报表.xlsx）、文件大小（2.3MB）、文件类型（Excel）；

• • 设备信息：客户端 IP（192.168.1.105）、设备名称（DESKTOP-ABC123，Windows 电脑名）；

• • 访问信息：协议（SMB）、端口（445）、认证方式（密码认证）；

3. 若判断为误操作（如 user2 不小心删了报表），可通过 Hyper Backup 恢复该文件（根据操作时间选择对应备份版本）；

4. 若判断为恶意操作（如未授权用户删除敏感文件），可在 DSM 中调整该用户权限（如限制删除权限）。

企业用户需定期导出 File Activity 报告用于审计，操作如下：

1. 在 File Activity 页面，设置好筛选条件（如 “时间范围 = 近 30 天 + 操作类型 = 权限变更”）；

2. 点击页面右上角「导出」按钮，选择导出格式：

• • CSV 格式：适合用 Excel 打开编辑（如添加审计备注），包含所有字段；

• • PDF 格式：适合直接打印或发送给审计机构，格式固定不可编辑；

3. 选择格式后，点击「确定」，报告将自动下载到电脑；

4. 导出的 PDF 报告包含：筛选条件说明、记录列表（所有字段）、统计图表（如操作类型占比），符合合规要求。

使用中可能遇到 “无记录”“延迟” 等问题，以下是官方推荐的解决方法：

• 原因：未配置监控范围、监控刚启用未生成记录、权限不足；

• 解决步骤：

1. 1. 检查监控范围：进入「Active Insight→设置→文件活动→监控范围」，确认已勾选需监控的共享文件夹；

1. 2. 等待生效时间：刚配置监控需等待 5-10 分钟，系统需时间采集数据；

1. 3. 确认权限：当前用户需为 “管理员” 或拥有 “Active Insight 文件活动查看权限”（普通用户需管理员授权：「控制面板→用户与群组→编辑用户→应用程序权限→Active Insight→勾选文件活动查看」）。

• 原因：默认数据同步周期为 5 分钟，高负载时可能延长；

• 解决步骤：

1. 1. 进入「Active Insight→设置→文件活动→高级」；

1. 2. 将「数据同步周期」从默认 “5 分钟” 改为 “1 分钟”（不建议短于 1 分钟，避免占用过多 NAS 资源）；

1. 3. 点击「应用」，后续操作记录延迟会缩短至 1-2 分钟。

• 原因：Excel 默认编码与报告编码不匹配（File Activity 导出的 CSV 为 UTF-8 编码）；

• 解决步骤：

1. 1. 打开 Excel，点击「数据→自文本 / CSV」；

1. 2. 选择导出的 CSV 文件，在导入向导中选择 “编码→UTF-8”；

1. 3. 点击「加载」，文件内容正常显示，无乱码。

• 原因：未启用 “权限变更监控”，该功能需手动开启；

• 解决步骤：

1. 1. 进入「Active Insight→设置→文件活动→高级」；

1. 2. 勾选「启用权限变更监控」，点击「应用」；

1. 3. 后续权限变更操作会被记录，历史权限变更无法回溯。

• 原因：默认保留 90 天记录，若文件操作频繁，数据量会较大；

• 解决步骤：

1. 1. 进入「Active Insight→设置→文件活动→数据保留」；

1. 2. 将「保留期限」从 “90 天” 改为 “30 天”（企业用户建议不短于 30 天，满足合规）；

1. 3. 勾选「自动清理过期数据」，系统会每天自动删除超过保留期的记录；

1. 4. 若需立即清理，点击「手动清理」，选择 “删除 30 天前的记录”，点击「确定」。

掌握基础操作后，通过以下优化可提升 File Activity 的使用效率，减少资源占用：

• 核心文件夹（如财务、人事）：监控所有操作类型（创建 / 修改 / 删除 / 权限变更）；

• 普通文件夹（如公共文档）：仅监控 “删除”“权限变更”（避免创建 / 修改记录过多）；

• 配置方法：「Active Insight→设置→文件活动→监控范围→编辑→点击文件夹右侧「设置」→选择需监控的操作类型」。

• 场景：当出现 “1 小时内删除 10 个以上文件”“非工作时间（如凌晨 2 点）修改敏感文件” 时，自动发送告警；

• 配置方法：

1. 1. 进入「Active Insight→告警→添加告警规则」；

1. 2. 选择 “告警类型→文件活动异常”；

1. 3. 设置触发条件（如 “操作类型 = 删除 + 1 小时内次数≥10”）、告警方式（邮件 / DSM 通知）；

1. 4. 点击「应用」，后续触发条件时会及时通知管理员。

• 若通过 File Activity 发现 “陌生 IP（如 192.168.1.200）访问文件”，可进入「Active Insight→设备→网络设备」，查看该 IP 对应的设备信息（如设备类型、操作系统），判断是否为未授权设备；

• 若为未授权设备，可在路由器中屏蔽该 IP，或在 DSM 中限制其访问权限。

• 企业中，财务人员需查看 “财务数据” 的 File Activity 记录，但无需查看其他文件夹；

• 配置方法：「控制面板→用户与群组→编辑财务用户→应用程序权限→Active Insight→文件活动查看→选择 “仅允许查看指定文件夹”→勾选 “财务数据”」，确保权限最小化。

Synology Active Insight File Activity 的核心是 “让 NAS 文件操作可追溯、可审计”—— 对企业用户，它是合规审计的必备工具；对个人用户，它是文件误操作恢复的 “溯源账本”。使用时需记住 3 个关键原则：

1. 提前配置监控范围：避免 “需要时才发现没监控”，新共享文件夹创建后及时添加到监控；

2. 善用组合筛选：多维度筛选比单维度效率高 10 倍，排查问题时优先组合 “时间 + 操作类型 + 操作人”；

3. 平衡记录保留与空间：企业用户不短于 30 天，个人用户可设 15-30 天，避免占用过多空间。

通过本文的步骤与技巧，你可充分发挥 File Activity 的功能，解决文件监控与溯源的核心痛点。若需进一步了解 Active Insight 的其他功能（如设备性能监控），可访问 Synology 官方知识库（https://kb.synology.cn/zh-cn/DSM/tutorial/Active_Insight_File_Activity），获取更多官方指导。