如何在集群模式 Data ONTAP 上启用 NFS 事件审核
执行
执行
适用于
集群模式 Data ONTAP 8
说明
本文介绍了使用 NFS ( NFSv3 或 NFSv4 )为访问、修改或删除的文件和文件夹启用文件和文件夹审核时应遵循的过程。 为了让集群模式 Data ONTAP 审核 NFS 事件、必须在运行vserver nfs create
该命令时启用 NFSv4 。
一旦将 ACL 应用到文件 / 目录中、 NFSv4 就不再是挂载或 SVM 的要求。根据环境和启用的 NFS 版本的不同、此 KB 将提供禁用 v4 功能的可选步骤。 在禁用 V4 后、 NFSv3 事件将继续被审核。
这将创建一个 XML 文件,其大小不会超过 100 米。 ( 100 米是 cDOT NFS 最佳实践 TR 第 10 节中指定的大小)。
有两个选项可用于查看审计、 XML 或 EVTX 。 任何客户端都可以查看 XML 。与 EVTX 一样、要查看它、请使用 Windows 审计日志查看器。
下面是“文件删除”的外观。
<Event><System><Provider Name="Netapp-Security-Auditing"/><EventID>9998</EventID><EventName>Unlink Object</EventName><Version>101.2</Version><Source>NFSv3</Source><Level>0</Level><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><Result>Audit Success</Result><TimeCreated SystemTime="2015-12-02T01:00:36.142467000Z"/><Correlation/><Channel>Security</Channel><Computer>7f88b548-45ef-11e5-a549-005056923487/72ea833a-46d4-11e5-a549-005056923487</Computer><Security/></System><EventData><Data Name="SubjectIP" IPVersion="4">172.18.83.90</Data><Data Name ="SubjectUnix" Uid="1000" Gid="200" Local="false"></Data><Data Name="SubjectUserSid">S-1-5-21-315225131-152720833-1400237508-500</Data><Data Name="SubjectUserIsLocal">false</Data><Data Name="SubjectDomainName">Not Present</Data><Data Name="SubjectUserName">Not Present</Data><Data Name="DirHandleID">00000000000402;00;00000bc6;000d18d5</Data><Data Name="FileName">(musica);/GustavMahler/this_is_a_test_dir/ntp.conf </Data><Data Name="SearchFilter"></Data></EventData></Event>
Unlink 对象是一个删除对象。这将显示执行删除的人员的时间、源 IP 地址、用户 ID 和组 ID 号以及文件名。
以下是权限更改:
<Event><System><Provider Name="Netapp-Security-Auditing"/><EventID>4663</EventID><EventName>Set ObjectAttributes</EventName><Version>101.3</Version><Source>NFSv4</Source><Level>0</Level><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><Result>Audit Success</Result><TimeCreated SystemTime="2015-12-02T00:59:06.790210000Z"/><Correlation/><Channel>Security</Channel><Computer>7f88b548-45ef-11e5-a549-005056923487/72ea833a-46d4-11e5-a549-005056923487</Computer><Security/></System><EventData><Data Name="SubjectIP" IPVersion="4">172.18.83.50</Data><Data Name="SubjectUnix" Uid="1000" Gid="200" Local="false"></Data><Data Name="SubjectUserSid">S-1-5-21-315225131-152720833-1400237508-500</Data><Data Name="SubjectUserIsLocal">false</Data><Data Name="SubjectDomainName">Not Present</Data><Data Name="SubjectUserName">Not Present</Data><Data Name="ObjectServer">Security</Data><Data Name="ObjectType">File</Data><Data Name="HandleID">00000000000402;00;0000065e;009be8aa</Data><Data Name="ObjectName">(musica);/Gustav Mahler/Symphony No. 9 [Disc 1 of 2] - Leonard Bernstein RoyalConcertgebouw Orchestra/1-01 Mahler_ Symphony #9 In D - 1A..mp3</Data><Data Name="InformationSet">NFS4 ACL; </Data></EventData></Event>
This is what a permissions change looks like from evtx.