如何在集群模式 Data ONTAP 上启用 NFS 事件审核

最后更新
另存为PDF

Views:: 24

Visibility:: Public

Votes:: 0

Category:: data-ontap-8

Specialty:: nas

Last Updated:

执行

适用于

集群模式 Data ONTAP 8

说明

本文介绍了使用 NFS （ NFSv3 或 NFSv4 ）为访问、修改或删除的文件和文件夹启用文件和文件夹审核时应遵循的过程。为了让集群模式 Data ONTAP 审核 NFS 事件、必须在运行vserver nfs create该命令时启用 NFSv4 。

一旦将 ACL 应用到文件 / 目录中、 NFSv4 就不再是挂载或 SVM 的要求。根据环境和启用的 NFS 版本的不同、此 KB 将提供禁用 v4 功能的可选步骤。在禁用 V4 后、 NFSv3 事件将继续被审核。
这将创建一个 XML 文件，其大小不会超过 100 米。（ 100 米是 cDOT NFS 最佳实践 TR 第 10 节中指定的大小）。

有两个选项可用于查看审计、 XML 或 EVTX 。任何客户端都可以查看 XML 。与 EVTX 一样、要查看它、请使用 Windows 审计日志查看器。

下面是“文件删除”的外观。

<Event><System><Provider Name="Netapp-Security-Auditing"/><EventID>9998</EventID><EventName>Unlink Object</EventName><Version>101.2</Version><Source>NFSv3</Source><Level>0</Level><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><Result>Audit Success</Result><TimeCreated SystemTime="2015-12-02T01:00:36.142467000Z"/><Correlation/><Channel>Security</Channel><Computer>7f88b548-45ef-11e5-a549-005056923487/72ea833a-46d4-11e5-a549-005056923487</Computer><Security/></System><EventData><Data Name="SubjectIP" IPVersion="4">172.18.83.90</Data><Data Name ="SubjectUnix" Uid="1000" Gid="200" Local="false"></Data><Data Name="SubjectUserSid">S-1-5-21-315225131-152720833-1400237508-500</Data><Data Name="SubjectUserIsLocal">false</Data><Data Name="SubjectDomainName">Not Present</Data><Data Name="SubjectUserName">Not Present</Data><Data Name="DirHandleID">00000000000402;00;00000bc6;000d18d5</Data><Data Name="FileName">(musica);/GustavMahler/this_is_a_test_dir/ntp.conf </Data><Data Name="SearchFilter"></Data></EventData></Event>

Unlink 对象是一个删除对象。这将显示执行删除的人员的时间、源 IP 地址、用户 ID 和组 ID 号以及文件名。

以下是权限更改：

<Event><System><Provider Name="Netapp-Security-Auditing"/><EventID>4663</EventID><EventName>Set ObjectAttributes</EventName><Version>101.3</Version><Source>NFSv4</Source><Level>0</Level><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><Result>Audit Success</Result><TimeCreated SystemTime="2015-12-02T00:59:06.790210000Z"/><Correlation/><Channel>Security</Channel><Computer>7f88b548-45ef-11e5-a549-005056923487/72ea833a-46d4-11e5-a549-005056923487</Computer><Security/></System><EventData><Data Name="SubjectIP" IPVersion="4">172.18.83.50</Data><Data Name="SubjectUnix" Uid="1000" Gid="200" Local="false"></Data><Data Name="SubjectUserSid">S-1-5-21-315225131-152720833-1400237508-500</Data><Data Name="SubjectUserIsLocal">false</Data><Data Name="SubjectDomainName">Not Present</Data><Data Name="SubjectUserName">Not Present</Data><Data Name="ObjectServer">Security</Data><Data Name="ObjectType">File</Data><Data Name="HandleID">00000000000402;00;0000065e;009be8aa</Data><Data Name="ObjectName">(musica);/Gustav Mahler/Symphony No. 9 [Disc 1 of 2] - Leonard Bernstein RoyalConcertgebouw Orchestra/1-01 Mahler_ Symphony #9 In D - 1A..mp3</Data><Data Name="InformationSet">NFS4 ACL; </Data></EventData></Event>

This is what a permissions change looks like from evtx.