clustered Data ONTAP で NFS イベントの監査を有効にする方法
のとう
のとう
に適用されます
clustered Data ONTAP 8
説明
この資料では、 NFS ( NFSv3 または NFSv4 )を使用してアクセス、変更、または削除されたファイルとフォルダの監査を有効にする手順について説明します。 clustered Data ONTAP で NFS イベントを監査するにvserver nfs create
は、コマンドの実行時に NFSv4 を有効にする必要があります。
ACL がファイル / ディレクトリに適用されると、 NFSv4 はマウントまたは SVM の要件ではなくなります。この KB では、環境と有効になっている NFS のバージョンに応じて、 v4 機能を無効にするオプションの手順を提供します。 NFSv4 が無効になった後も、 NFSv3 イベントは引き続き監査されます。
これにより、サイズが 100 m 以下になる XML ファイルが作成されます。 ( 100M は、 CDOT NFS ベストプラクティス TR セクション 10 で指定されたサイズです)。
監査の表示には、 XML または EVTX の 2 つのオプションがあります。 XML は、どのクライアントでも表示できます。ETX と同様に、 Windows 監査ログビューアを使用して表示します。
「ファイルの削除」は次のようになります。
<Event><System><Provider Name="Netapp-Security-Auditing"/><EventID>9998</EventID><EventName>Unlink Object</EventName><Version>101.2</Version><Source>NFSv3</Source><Level>0</Level><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><Result>Audit Success</Result><TimeCreated SystemTime="2015-12-02T01:00:36.142467000Z"/><Correlation/><Channel>Security</Channel><Computer>7f88b548-45ef-11e5-a549-005056923487/72ea833a-46d4-11e5-a549-005056923487</Computer><Security/></System><EventData><Data Name="SubjectIP" IPVersion="4">172.18.83.90</Data><Data Name ="SubjectUnix" Uid="1000" Gid="200" Local="false"></Data><Data Name="SubjectUserSid">S-1-5-21-315225131-152720833-1400237508-500</Data><Data Name="SubjectUserIsLocal">false</Data><Data Name="SubjectDomainName">Not Present</Data><Data Name="SubjectUserName">Not Present</Data><Data Name="DirHandleID">00000000000402;00;00000bc6;000d18d5</Data><Data Name="FileName">(musica);/GustavMahler/this_is_a_test_dir/ntp.conf </Data><Data Name="SearchFilter"></Data></EventData></Event>
Unlink オブジェクトは削除です。削除したユーザの時刻、送信元 IP アドレス、ユーザ ID とグループ ID 番号、およびファイル名が表示されます。
権限の変更は次のとおりです。
<Event><System><Provider Name="Netapp-Security-Auditing"/><EventID>4663</EventID><EventName>Set ObjectAttributes</EventName><Version>101.3</Version><Source>NFSv4</Source><Level>0</Level><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><Result>Audit Success</Result><TimeCreated SystemTime="2015-12-02T00:59:06.790210000Z"/><Correlation/><Channel>Security</Channel><Computer>7f88b548-45ef-11e5-a549-005056923487/72ea833a-46d4-11e5-a549-005056923487</Computer><Security/></System><EventData><Data Name="SubjectIP" IPVersion="4">172.18.83.50</Data><Data Name="SubjectUnix" Uid="1000" Gid="200" Local="false"></Data><Data Name="SubjectUserSid">S-1-5-21-315225131-152720833-1400237508-500</Data><Data Name="SubjectUserIsLocal">false</Data><Data Name="SubjectDomainName">Not Present</Data><Data Name="SubjectUserName">Not Present</Data><Data Name="ObjectServer">Security</Data><Data Name="ObjectType">File</Data><Data Name="HandleID">00000000000402;00;0000065e;009be8aa</Data><Data Name="ObjectName">(musica);/Gustav Mahler/Symphony No. 9 [Disc 1 of 2] - Leonard Bernstein RoyalConcertgebouw Orchestra/1-01 Mahler_ Symphony #9 In D - 1A..mp3</Data><Data Name="InformationSet">NFS4 ACL; </Data></EventData></Event>
This is what a permissions change looks like from evtx.