跳转到主内容

如何在集群模式 Data ONTAP 上启用 NFS 事件审核

Views:
42
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
nas
Last Updated:

执行

执行

适用于

集群模式 Data ONTAP 8

说明

本文介绍了使用 NFS ( NFSv3 或 NFSv4 )为访问、修改或删除的文件和文件夹启用文件和文件夹审核时应遵循的过程。  为了让集群模式 Data ONTAP 审核 NFS 事件、必须在运行vserver nfs create该命令时启用 NFSv4 。 

一旦将 ACL 应用到文件 / 目录中、 NFSv4 就不再是挂载或 SVM 的要求。根据环境和启用的 NFS 版本的不同、此 KB 将提供禁用 v4 功能的可选步骤。  在禁用 V4 后、 NFSv3 事件将继续被审核。
这将创建一个 XML 文件,其大小不会超过 100 米。  ( 100 米是 cDOT NFS 最佳实践 TR 第 10 节中指定的大小)。

有两个选项可用于查看审计、 XML 或 EVTX 。  任何客户端都可以查看 XML 。与 EVTX 一样、要查看它、请使用 Windows 审计日志查看器。

下面是“文件删除”的外观。

<Event><System><Provider Name="Netapp-Security-Auditing"/><EventID>9998</EventID><EventName>Unlink Object</EventName><Version>101.2</Version><Source>NFSv3</Source><Level>0</Level><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><Result>Audit Success</Result><TimeCreated SystemTime="2015-12-02T01:00:36.142467000Z"/><Correlation/><Channel>Security</Channel><Computer>7f88b548-45ef-11e5-a549-005056923487/72ea833a-46d4-11e5-a549-005056923487</Computer><Security/></System><EventData><Data Name="SubjectIP" IPVersion="4">172.18.83.90</Data><Data Name ="SubjectUnix" Uid="1000" Gid="200" Local="false"></Data><Data Name="SubjectUserSid">S-1-5-21-315225131-152720833-1400237508-500</Data><Data Name="SubjectUserIsLocal">false</Data><Data Name="SubjectDomainName">Not Present</Data><Data Name="SubjectUserName">Not Present</Data><Data Name="DirHandleID">00000000000402;00;00000bc6;000d18d5</Data><Data Name="FileName">(musica);/GustavMahler/this_is_a_test_dir/ntp.conf </Data><Data Name="SearchFilter"></Data></EventData></Event>

Unlink 对象是一个删除对象。这将显示执行删除的人员的时间、源 IP 地址、用户 ID 和组 ID 号以及文件名。

以下是权限更改:

<Event><System><Provider Name="Netapp-Security-Auditing"/><EventID>4663</EventID><EventName>Set ObjectAttributes</EventName><Version>101.3</Version><Source>NFSv4</Source><Level>0</Level><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><Result>Audit Success</Result><TimeCreated SystemTime="2015-12-02T00:59:06.790210000Z"/><Correlation/><Channel>Security</Channel><Computer>7f88b548-45ef-11e5-a549-005056923487/72ea833a-46d4-11e5-a549-005056923487</Computer><Security/></System><EventData><Data Name="SubjectIP" IPVersion="4">172.18.83.50</Data><Data Name="SubjectUnix" Uid="1000" Gid="200" Local="false"></Data><Data Name="SubjectUserSid">S-1-5-21-315225131-152720833-1400237508-500</Data><Data Name="SubjectUserIsLocal">false</Data><Data Name="SubjectDomainName">Not Present</Data><Data Name="SubjectUserName">Not Present</Data><Data Name="ObjectServer">Security</Data><Data Name="ObjectType">File</Data><Data Name="HandleID">00000000000402;00;0000065e;009be8aa</Data><Data Name="ObjectName">(musica);/Gustav Mahler/Symphony No. 9 [Disc 1 of 2] - Leonard Bernstein RoyalConcertgebouw Orchestra/1-01 Mahler_ Symphony #9 In D - 1A..mp3</Data><Data Name="InformationSet">NFS4 ACL; </Data></EventData></Event>

This is what a permissions change looks like from evtx.

1031357.png

 

CUSTOMER EXCLUSIVE CONTENT

Registered NetApp customers get unlimited access to our dynamic Knowledge Base.

New authoritative content is published and updated each day by our team of experts.

Current Customer or Partner?

Sign In for unlimited access

New to NetApp?

Learn more about our award-winning Support