メインコンテンツまでスキップ

7-mode コントローラで CIFS 監査を設定する方法

  1. 最後の更新
  2. PDFとして保存
Views:
57
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
7dot<a>KBTV</a>
Last Updated:

環境

  • clustered Data ONTAP 8
  • Data ONTAP 7以前

説明

  • この資料では、コントローラでCIFS (Common Internet File System Protocol)監査機能を設定するための手順について説明します。
  • また、ログサイズを大きい値に設定した場合に、小さな監査ファイルが大量に発生する理由についても説明します。

手順

  • CIFS監査は 、Windowsクライアントでの従来のイベント監査とは異なります。
  • コントローラは、ログがプリセットまたはユーザ定義のしきい値に達するまで、監査イベントを一時メモリに格納します。
  • このしきい値を超えると、一時ファイルは 標準のEVT形式のファイルに書き込まれ、監査ツールを使用して表示できます。
  • この形式の性質上、 EVT生成イベントをリアルタイムで表示することはできません。
  • リアルタイムイベントを詳細に表示するには、LiveViewを使用する必要があります。Data ONTAP 7.2.2 / Data ONTAP 7.3RC1より前のバージョンでは、LiveViewはEVTログごとに1000イベントしか表示できず、各EVTログは1分に1回書き込まれます。
  • この設定はLiveViewにハードコードされており、変更できません。
  • 詳細については、バグ 217215を参照してください。
  • 注:
    • Data ONTAP 7.2.2 / Data ONTAP 7.3RC1より前のバージョンでは、LiveViewはカスタムセーブトリガーよりも優先されます。
    • カスタム保存ログを作成することも、LiveViewを使用することもできます。カスタム保存ログとLiveViewを同時に使用することはできません。
    • LiveViewを使用すると、1分ごとにログファイルが書き込まれます。
    • LiveViewで保持される監査エントリは、1分ごとに1000個だけです。 
  • Data ONTAP 7.2.2以降では、エントリ数が5000に引き上げられ、 cifs.audit.autosave 内部監査ファイルのサイズと保存方法を制御するオプションとともにLiveViewを有効にすることができます。

[1] 詳細については、『ファイルアクセスおよびプロトコル管理ガイド』を参照してください。

Filer> cifs audit start または Filer> options cifs.audit.enable on

  • これらのコマンド は、監査ログを書き込む頻度を制御します。
  • 初めて有効にすると、監査ログは1日に1回書き込まれるか、使用率が75%(384MB)になった時点で書き込まれます。
  • これがデフォルト設定です。
  • ログファイルの書き込み頻度を制御するオプションがいくつかあります。
  • オプションを設定するには、次の構文を使用します。options.cifs.audit.[option] [variable]
  • 監査対象の追加項目を設定するには、共有またはqtreeごとに特定の監査ルールを設定する必要があります。
  1. Computer Managerで、qtreeまたは監査が必要なフォルダに移動します。
  2. [セキュリティ ]タブを選択し、 [詳細設定] タブを選択して、 [監査]を選択します。
  3. 監査するグループとイベントを指定します。
  • オプションの概要は次のとおりです。
    • cifs.audit.autosave.onsize.enable [on/off]
      特定のサイズしきい値に達したときにログを保存するかどうかを指定します。
    • cifs.audit.autosave.onsize.threshold [%,k,m]
      save onsizeのサイズしきい値を設定します。 ログサイズ全体に対する割合を指定することも、ログの合計サイズより小さいプレフィックスサイズを指定することもできます。書き込み中に発生したイベントを処理するために、ログに少なくとも20%のオーバーヘッドを与えることをお勧めします。
    • cifs.audit.autosave.ontime.enable [on/off] 
      ログを保存する頻度を設定します。onsize設定を指定せずにこのコマンドを使用すると、ログファイルが小さすぎるとログラッピングが発生する可能性があることに注意してください。
    • cifs.audit.autosave.ontime.interval [m,h,d]
      ログを時間通りに保存する頻度を設定します。設定できる最大時間は7日です。
  • ログファイルの属性を設定するには、次のオプションを使用します。
    • cifs.audit.logsize 524288 - 68719476736
      • ログファイルの合計サイズをバイト単位で設定します。
      • 警告:ログファイルのサイズを大きくしてから cifs.audit.liveview.enable オンに設定するように注意してください。  

      • ログファイルを.evt形式に変換すると、原因の パフォーマンスが低下する可能性があります。

    • cifs.audit.autosave.file.limit 0 ~ 255 
      • コントローラに保持するEVTファイルの数を設定します。
      • このオプションを0に変更すると、この機能が無効になり、ストレージで許可されている数のEVTファイルを保持できます。
    • cifs.audit.autosave.file.extension [counter/timestamp]

このオプションを設定すると、ログが書き込まれた時刻のタイムスタンプまたは連番で各ログファイルが保存されます。

  • cifs.audit.saveas [path]

手動でトリガーされるログ保存のデフォルトの場所とファイル名を設定します。

  • ログをリアルタイムで表示するように設定するには、次のオプションを使用します。
    • options cifs.audit.liveview.enable [onoff]
    • 注:
      • LiveViewで は、カスタムセーブトリガーが優先されます。カスタム保存ログを作成するか、LiveViewを使用します。
      • カスタム保存ログとLiveViewを 同時に使用することはできません。
      • LiveViewを使用すると、1分ごとにログファイルが書き込まれます。
      • LiveViewでは、1分間のファイルごとに1000件の監査エントリしか保持されません。
  • 次のオプションは、監査ログに記録する内容をカスタマイズします。
    • cifs.audit.account_mgmt_events.enable [on/off]
      監査ログにコントローラのユーザ管理または共有アカウント管理に対する変更を記録するかどうかを設定します。
    • cifs.audit.file_access_events.enable [on/off]
      CIFSを介してコントローラのファイルアクセスイベントを監査ログに記録するかどうかを設定します。
  • ファイルやフォルダで監査のSACLが設定されていないと、アクセスイベントは記録されません。
  • Windows 10でのSACLの設定

詳細については、Microsoftのドキュメントを参照してください。また、上記のページが削除されている場合もあります。

  • cifs.audit.logon_events.enable [on/off]

CIFSを介してユーザ、マシン、またはドメインのログインイベントを監査ログに記録するかどうかを設定します。

  • cifs.audit.nfs.enable [on/off]

監査ログにNFSイベントを記録するかどうかを設定します。Windows SACLで指定されたイベントのみが 記録されます。

  • cifs.audit.nfs.filter.filename [name]
  • NFSフィルタのリストが格納されているコントローラ上の場所。
  • NFSフィルタによって、 ログに書き込むファイルが決まります。
  • ログサイズを大きい値に設定した場合、小さい監査ファイルが大量にあるのはなぜですか。
    • LiveViewは監査に対して有効になっており、で設定された最大許容ファイル数まで、1分ごとに保存されるようにハードコーディングされて cifs.audit.autosave.file.limitいます。
    • 数分間にわたってイベントを表示するには、サードパーティの監査ビューアを使用する必要があります。
    • デフォルトでは、Windowsイベントビューアは単一のログエントリファイルのみを表示できます。
    • 特定のサイズのログファイルを1つだけ保持する必要がある場合、または一定期間に1つのログファイルのみを保持する必要がある場合は、LiveViewを無効にします。 Filer> cifs.audit.liveview.enable off 
  • CIFS監査ログが空の理由トラブルシューティングを行うには、次の手順に従います。
  1. CIFS監査が有効になっていることを確認します。Filer> options cifs.audit.enable on
  2.  NTFSセキュリティ形式用に設定されたボリュームまたはqtreeに監査ログが保存されていることを確認します。また、監査ログの保存先ディレクトリ(BUILTIN/Administrator/Full Control)に適切なACLが適用されていることを確認します。

注:options cifs.audit.autosave.file.limit valueは0~999の数値です。

追加情報

NAS監査- FAQ

 

Sign in to view the entire content of this KB article.

New to NetApp?

Learn more about our award-winning Support

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.