7- 模式如何在控制器上设置 CIFS 审核

适用场景

• 集群模式Data ONTAP 8.
• Data ONTAP 7及更早版本

问题描述

• 本文介绍在控制器上设置通用Internet文件系统协议(Common Internet File System Protocol、CIFS)审核工作的操作步骤。
• 它还说明了日志大小设置为较大数字时存在大量小审核文件的原因。

操作步骤

• CIFS审核的功能与 Windows客户端上的传统事件审核不同。
• 控制器会将审核事件存储在临时内存中、直到日志达到预设或用户定义的阈值。
• 一旦超过此阈值、此临时文件将 以标准EVT格式文件写入、可使用审核工具查看此文件。
• 由于这种格式的性质、 无法实时查看EVT生成事件。
• 要更深入地查看实时事件、必须使用LiveView。在Data ONTAP 7.2.2/EV7.3RC1之前Data ONTAP、LiveView将只能为每个EVT日志显示1000个事件、并且每个EVT日志每分钟写入一次。
• 此设置已硬编码到LiveView中、无法更改。
• 有关详细信息、请参见错误 217215
• 注:
  • 在Data ONTAP 7.2.2/ Data ONTAP 7.3RC1之前、LiveView取代了自定义的保存触发器。
  • 您可以拥有自定义的保存日志、也可以使用LiveView。您不能同时使用自定义保存日志和LiveView。
  • 如果使用LiveView、则每分钟都会写入一个日志文件。
  • LiveView将在每分钟文件中仅保留1000个审核条目。 
• 从Data ONTAP 7.2.2开始、条目数增加到5000、并且可以同时启用LiveView和 cifs.audit.autosave 选项、这些选项用于控制内部审核文件的大小及其保存方式。

[1] 有关详细信息、请参见《文件访问和协议管理指南》。

• 有关在集群模式Data ONTAP上运行CIFS审核的详细信息、请参见文章： 如何使用集群模式Data ONTAP设置CIFS审核
• 要在控制器上启用CIFS审核、请运行以下命令之一：

Filer> cifs audit start 或 Filer> options cifs.audit.enable on

• 这些命令 用于控制写入审核日志的频率。
• 首次启用时、审核日志将每天写入一次、或者在已满75%时写入(384 MB)。
• 这是默认设置。
• 可以使用多个选项来控制日志文件的写入频率。
• 要设置选项、请使用以下语法：options.cifs.audit.[option] [variable]
• 要设置要审核的其他项、您需要为每个共享或qtree配置特定的审核规则：

1. 在 计算机管理器中，转到qtree或需要审核的文件夹。
2. 依次选择“安全”选项卡和 “高级” 选项卡，然后选择 “审核”。
3. 指定要审核的组和事件。

• 这些选项概述如下：
  • cifs.audit.autosave.onsize.enable [on/off]
    确定在达到特定大小阈值时是否保存日志。
  • cifs.audit.autosave.onsize.threshold [%,k,m]
    设置保存大小的大小阈值。该值可以是 整个日志大小的百分比、也可以是小于日志总大小的前定大小。建议为日志提供至少20%的开销、以处理写入期间发生的任何事件。
  • cifs.audit.autosave.ontime.enable [on/off] 
    设置日志的保存频率。请注意、如果使用此命令而不设置onsize、则在日志文件设置得太小时、可能会发生日志绕过。
  • cifs.audit.autosave.ontime.interval [m,h,d]
    设置在按时保存日志的频率。可以设置的最长时间为7天。
• 要配置日志文件的属性、请使用以下选项：
  • cifs.audit.logsize 524288 - 68719476736
    • 设置日志文件的总大小(以字节为单位)。
    • 警告：请小心地将日志文件大小设置 cifs.audit.liveview.enable 为高、然后再设置为on。  

    • 将日志文件转换为.evt格式的过程会 影响发生原因CIFS的性能。

  • cifs.audit.autosave.file.limit 0-255 
    • 设置要在控制器上保留的EVT文件数量。
    • 将此选项更改为0将禁用此功能、允许保留存储所允许的尽可能多的EVT文件。
  • cifs.audit.autosave.file.extension [counter/timestamp]

设置此选项将使用写入日志的时间戳或序列号保存每个日志文件。

• cifs.audit.saveas [path]

设置手动触发的日志保存的默认位置以及文件名。

• 要配置要实时查看的日志、请使用以下选项：
  • options cifs.audit.liveview.enable [onoff]
  • 注:
    • LiveView 取代了自定义的保存触发器。有自定义的保存日志或使用LiveView。
    • 您不能  同时使用自定义保存日志和LiveView。
    • 如果使用LiveView、则每分钟都会写入一个日志文件。
    • LiveView将为每个1分钟的文件仅保留1000个审核条目。
• 以下选项可自定义审核日志中记录的内容：
  • cifs.audit.account_mgmt_events.enable [on/off]
    设置审核日志是记录对控制器上的用户管理还是共享帐户管理所做的更改。
  • cifs.audit.file_access_events.enable [on/off]
    设置审核日志是否通过CIFS记录控制器上的文件访问事件。

• 除非 在文件/文件夹上配置了用于审核的SACL、否则不会记录访问事件。
• 在Windows 10上设置SACL

有关更多详细信息、或者如果删除了上述页面、请参阅Microsoft文档。

• cifs.audit.logon_events.enable [on/off]

设置审核日志是否通过CIFS记录用户、计算机或域登录事件。

• cifs.audit.nfs.enable [on/off]

设置审核日志是否记录NFS事件。仅 会记录由Windows SACL指定的事件。

• cifs.audit.nfs.filter.filename [name]

• 包含NFS筛选器列表的控制器上的位置。
• NFS筛选器用于确定 要写入日志的文件。
• 为什么在将日志大小设置为较大数字时会有大量小型审核文件？
  • LiveView已启用审核功能，并且每分钟都经过硬编码保存，最多可达到所设置的允许的最大文件数 cifs.audit.autosave.file.limit。
  • 要在几分钟内查看事件、您需要使用第三方审核查看器。
  • 默认情况下、Windows事件查看器只能查看单个日志条目文件。
  • 如果您只需要一个特定大小的日志文件、或者在一段时间内只需要一个日志文件、请禁用LiveView： Filer> cifs.audit.liveview.enable off 
• 为什么CIFS审核日志为空？按照以下步骤进行故障排除：

1. 确认已启用CIFS审核：Filer> options cifs.audit.enable on
2. 确认正在将审核日志保存到 为 NTFS安全模式设置的卷或qtree。此外、请确认已将正确的ACL应用于保存审核日志的目录(BUILTIN/管理员/完全控制)。

注意：options cifs.audit.autosave.file.limit value是一个介于0到999之间的数字。

追加信息

NAS审核—常见问题解答