本发明提出了一种文件活动的监控方法和系统，监控文件NtSetInformation操作，根据当前文件NtSetInformation操作的子类型向PreSetInfoOperCallback完成函数传入当前文件NtSetInformation操作的文件对象的全路径名；根据PreSetInfoOperCallback完成函数中的消息参数和文件对象的全路径名判断出文件活动类型；最后将判断出的文件活动类型以及文件信息上报给应用层的监控软件。本发明基于IRP请求中的回调函数来实现监视文件活动，并判定文件活动类型，然后将文件活动类型以及文件信息上报给应用层的监控软件，以便于管理人员通过查看监控软件追查相关文件的操作记录，进一步限制了用户对文件操作的随意性，健全了文件操作的管理制度。