Forensik - Alle Aktivitäten
- Alle Aktivitätsdaten Werden Untersucht
- Filtern Forensischer Vorgangshistorie-Daten
- Beispiele Für Forensik-Filter Für Aktivitäten:
- Forensische Vorgangshistorie-Daten Sortieren
- Benutzerhandbuch für asynchrone Exporte
- Spaltenauswahl für Alle Aktivitäten
- Aufbewahrung Des Aktivitätsverlaufs
- Anwendbarkeit von Filtern in Forensics Seite
- Pfadsuche/Original-Pfadsuche
- Lokale Root-SVM-Benutzeraktivitäten ändern sich
- Fehlerbehebung
Auf der Seite Alle Aktivitäten können Sie die Aktionen verstehen, die für Einheiten in der Workload-Sicherheitsumgebung durchgeführt werden.
Alle Aktivitätsdaten Werden Untersucht
Klicken Sie auf Forensics > Vorgangsforensics und klicken Sie auf die Registerkarte Alle Aktivitäten, um die Seite Alle Aktivitäten aufzurufen. Diese Seite bietet einen Überblick über die Aktivitäten Ihres Mandanten und hebt die folgenden Informationen hervor:
-
Ein Diagramm mit „Aktivitätsverlauf“ (Zugriff pro Minute/pro 5 Minuten/pro 10 Minuten basierend auf dem ausgewählten globalen Zeitbereich)
Sie können das Diagramm vergrößern, indem Sie ein Rechteck im Diagramm herausziehen. Die gesamte Seite wird geladen, um den vergrößerten Zeitbereich anzuzeigen. Wenn der Zoom vergrößert wird, wird eine Schaltfläche angezeigt, mit der der Benutzer zoomen kann.
-
Ein Diagramm mit „Aktivitätstypen“. Um die Vorgangshistorie-Daten nach Aktivitätstyp zu erhalten, klicken Sie auf den entsprechenden x-Achse-Label-Link.
-
Ein Diagramm der Aktivität auf_Entity Types_. Um Vorgangsdaten nach Entitätstyp zu erhalten, klicken Sie auf den entsprechenden Link für die X-Achse-Bezeichnung.
-
Eine Liste der Daten „Alle Aktivitäten“
Die Tabelle *Alle Aktivitäten* enthält die folgenden Informationen. Beachten Sie, dass standardmäßig nicht alle dieser Spalten angezeigt werden. Sie können Spalten auswählen, die angezeigt werden sollen, indem Sie auf das Zahnradsymbol klicken.
-
Die Zeit, auf die ein Unternehmen zugegriffen wurde, einschließlich Jahr, Monat, Tag und Uhrzeit des letzten Zugriffs.
-
Der user, der auf die Entität mit einem Link zum zugegriffen "Benutzerinformationen"hat.
-
Die Aktivität, die der Benutzer durchgeführt hat. Folgende Typen werden unterstützt:
-
Gruppeneigentum ändern - Gruppeneigentum ist von Datei oder Ordner geändert. Weitere Informationen zur Gruppenbeteiligung finden Sie unter "Dieser Link."
-
Eigentümer ändern - das Eigentum an Datei oder Ordner wird zu einem anderen Benutzer geändert.
-
Berechtigung ändern - Datei- oder Ordnerrechte wurde geändert.
-
Erstellen - Erstellen Sie Datei oder Ordner.
-
Löschen - Datei oder Ordner löschen. Wenn ein Ordner gelöscht wird, werden delete Ereignisse für alle Dateien in diesem Ordner und Unterordnern abgerufen.
-
Lesen - Datei wird gelesen.
-
Metadaten lesen - nur bei Option zur Ordnerüberwachung. Wird beim Öffnen eines Ordners unter Windows erzeugt oder „ls“ innerhalb eines Ordners unter Linux ausgeführt.
-
Umbenennen - Umbenennen Sie die Datei oder den Ordner.
-
Schreiben - Daten werden in eine Datei geschrieben.
-
Metadaten schreiben - Dateimetadaten werden geschrieben, zum Beispiel, Berechtigung geändert.
-
Andere Änderung - jedes andere Ereignis, das oben nicht beschrieben wird. Alle nicht zugeordneten Ereignisse werden dem Aktivitätstyp „andere Änderung“ zugeordnet. Gilt für Dateien und Ordner.
-
-
Der Pfad zur Entität mit einem Link zum "Entity Detail-Daten"
-
Entity Type, einschließlich der Endung Entity (d. h. Datei) (.doc, .docx, .tmp usw.)
-
Das Gerät, in dem sich die Entitäten befinden
-
Das Protokoll zum Abrufen von Ereignissen.
-
Der Original-Pfad, der bei der Umbenennung der Originaldatei verwendet wird. Diese Spalte ist in der Tabelle standardmäßig nicht sichtbar. Verwenden Sie die Spaltenauswahl, um diese Spalte zur Tabelle hinzuzufügen.
-
Das Volumen, in dem sich die Entitäten befinden. Diese Spalte ist in der Tabelle standardmäßig nicht sichtbar. Verwenden Sie die Spaltenauswahl, um diese Spalte zur Tabelle hinzuzufügen.
Filtern Forensischer Vorgangshistorie-Daten
Es gibt zwei Methoden, mit denen Sie Daten filtern können.
-
Bewegen Sie den Mauszeiger über das Feld in der Tabelle, und klicken Sie auf das angezeigte Filtersymbol. Der Wert wird den entsprechenden Filtern in der oberen Liste Filter by hinzugefügt.
-
Filtern Sie die Daten, indem Sie das Feld Filter by eingeben:
Wählen Sie den entsprechenden Filter aus dem oberen Widget ‘Filtern nach’ aus, indem Sie auf die Schaltfläche [+] klicken:
Geben Sie den Suchtext ein
Drücken Sie die Eingabetaste, oder klicken Sie außerhalb des Filterfelds, um den Filter anzuwenden.
Sie können forensische Aktivitätsdaten nach folgenden Feldern filtern:
-
Der Typ Aktivität.
-
Quell-IP, auf die das Element zugegriffen wurde. Sie müssen eine gültige Quell-IP-Adresse in doppelten Anführungszeichen angeben, z. B. „10.1.1.1.“. Unvollständige IPs wie „10.1.1.“, „10.1..*“ usw. funktionieren nicht.
-
Protokoll zum Abrufen protokollspezifischer Aktivitäten.
-
Benutzername des Benutzers, der die Aktivität ausführt. Sie müssen den genauen Benutzernamen angeben, um sie zu filtern. Die Suche mit teilweisen Nutzernamen oder teilweisen Nutzernamen, vorfixiert oder mit ‘*’ abgestickt, funktioniert nicht.
-
Rauschunterdrückung zum Filtern von Dateien, die in den letzten 2 Stunden vom Benutzer erstellt werden. Sie wird auch zum Filtern temporärer Dateien (z. B. .tmp-Dateien) verwendet, auf die der Benutzer Zugriff hat.
-
Domain des Benutzers, der die Aktivität ausführt. Sie müssen die genaue Domain angeben, um zu filtern. Die Suche nach einer partiellen Domäne oder einer partiellen Domäne mit Präfix oder Suffix mit Platzhalter ('*') funktioniert nicht. None kann angegeben werden, um nach fehlender Domain zu suchen.
Die folgenden Felder unterliegen speziellen Filterregeln:
-
Entity Type, mit Entity (File) Extension - es ist vorzuziehen, den genauen Entity-Typ in Anführungszeichen anzugeben. Beispiel: _ „Txt“_.
-
Pfad der Entity - Verzeichnispfad-Filter (Pfadstring endet mit /) für schnellere Ergebnisse werden bis zu 4 Verzeichnisse empfohlen. Beispiel: /Home/userX/nested1/nested2/ ODER “/Home/userX/nested1/nested2/“. Weitere Informationen finden Sie in der folgenden Tabelle.
-
User die Aktivität durchführen - es ist vorzuziehen, den genauen Benutzer in Anführungszeichen anzugeben. Beispiel: _ „Administrator“_.
-
Gerät (SVM), in dem sich Entitäten befinden
-
Volumen, in dem sich Entitäten befinden
-
Der Original-Pfad, der bei der Umbenennung der Originaldatei verwendet wird.
Die vorhergehenden Felder unterliegen beim Filtern folgenden Kriterien:
-
Der genaue Wert sollte in Anführungszeichen liegen: Beispiel: "suchtext"
-
Platzhalter-Strings dürfen keine Anführungszeichen enthalten: Beispiel: suchtext, *suchtext*, filtert nach Zeichenfolgen, die ‘seartext’ enthalten.
-
String mit einem Präfix, Beispiel: suchtext* , sucht alle Strings, die mit ‘seartext’ beginnen.
Beispiele Für Forensik-Filter Für Aktivitäten:
Vom Benutzer angewendeter Filterausdruck | Erwartetes Ergebnis | Performance-Assessment | Kommentar |
---|---|---|---|
Pfad = /Home/userX/nested1/nested2/ oder /Home/userX/nested1/nested2/* oder "/Home/userX/nested1/nested2/" |
Rekursive Abfrage aller Dateien und Ordner unter dem angegebenen Verzeichnis |
Schnell |
Verzeichnissuchen bis zu 4 Verzeichnisse werden schnell sein. |
Pfad = /Home/userX/nested1/ oder /Home/userX/nested1/* oder "/Home/userX/nested1/" |
Rekursive Abfrage aller Dateien und Ordner unter dem angegebenen Verzeichnis |
Schnell |
Verzeichnissuchen bis zu 4 Verzeichnisse werden schnell sein. |
Pfad = /Home/userX/nested1/Test* oder /Home/userX/nested1/Test |
Rekursive Abfrage aller Dateien und Ordner unter dem angegebenen Pfad regex(Test* könnte Datei ODER Verzeichnis ODER beides bedeuten) |
Langsamer |
Die Suche nach Verzeichnis+Datei ist langsamer als bei Verzeichnissuchen. |
Pfad = /Home/userX/nested1/nested2/nested3/ oder /Home/userX/nested1/nested2/nested3/* oder "/Home/userX/nested1/nested2/nested3/" |
Rekursive Abfrage aller Dateien und Ordner unter dem angegebenen Verzeichnis |
Langsamer |
Mehr als 4 Verzeichnissuchen sind langsamer zu suchen. |
Pfad=*userX/nested1/Test* |
Rekursive Abfrage aller Dateien und Ordner unter der angegebenen Platzhalterpfad-Zeichenfolge (Test* kann Datei ODER Verzeichnis ODER beides bedeuten) |
Langsam |
Führende Platzhaltersuche sind langsamste Suchvorgänge. |
Alle anderen nicht pfadbasierten Filter. Benutzer- und Entitätstyp-Filter, die in Anführungszeichen empfohlen werden, z. B. Benutzer=„Administrator“ Entitätstyp=„txt“ |
Schnell |
HINWEIS:
-
Die Anzahl der Aktivitäten, die neben dem Symbol „Alle Aktivitäten“ angezeigt wird, wird auf 30 Minuten gerundet, wenn der ausgewählte Zeitraum mehr als 3 Tage umfasst. In einem Zeitraum von _1. September 10:15 bis 7. September 10:15 werden die Aktivitätszahlen vom 1. September 10:00 bis 7. September 10:30 Uhr angezeigt.
-
Ebenso werden die Zählmetriken in Aktivitätstypen, Aktivität auf Entitätstypen und Aktivitätsverlauf auf 30 Minuten abgerundet, wenn der ausgewählte Zeitraum mehr als 3 Tage umfasst.
Forensische Vorgangshistorie-Daten Sortieren
Sie können Daten aus dem Aktivitätsverlauf nach Zeit, Benutzer, Quell-IP, Aktivität, und Entitätstyp sortieren. Standardmäßig wird die Tabelle nach absteigender_Time_-Reihenfolge sortiert, was bedeutet, dass die neuesten Daten zuerst angezeigt werden. Die Sortierung ist für die Felder Device und Protocol deaktiviert.
Benutzerhandbuch für asynchrone Exporte
Überblick
Die Funktion „asynchrone Exporte“ in „Storage Workload Security“ wurde für die Verarbeitung großer Datenexporte entwickelt.
Schritt-für-Schritt-Anleitung: Daten mit asynchronen Exporten exportieren
-
Export starten: Wählen Sie die gewünschte Zeitdauer und Filter für den Export aus und klicken Sie auf den Export-Button.
-
Wait for Export to complete: Die Verarbeitungszeit kann von ein paar Minuten bis zu einigen Stunden betragen. Unter Umständen müssen Sie die Seite „Forensik“ einige Male aktualisieren. Sobald der Exportauftrag abgeschlossen ist, wird die Schaltfläche "Letzten Export CSV-Datei herunterladen" aktiviert.
-
Download: Klicken Sie auf den Button "Download Last created Export file", um die exportierten Daten im .zip-Format zu erhalten. Diese Daten können heruntergeladen werden, bis der Benutzer einen anderen asynchronen Export initiiert oder 3 Tage vergangen sind, je nachdem, was zuerst eintritt. Die Schaltfläche bleibt aktiviert, bis ein anderer asynchroner Export gestartet wird.
-
Einschränkungen:
-
Die Anzahl asynchroner Downloads ist derzeit auf 1 pro Benutzer und 3 pro Mandant begrenzt.
-
Die exportierten Daten sind auf maximal 1 Million Datensätze begrenzt.
-
Ein Beispielskript zum Extrahieren forensischer Daten über API ist auf dem Agenten unter /opt/NetApp/CloudSecure/Agent/Export-script/ vorhanden. Weitere Informationen zum Skript finden Sie in der Infodatei an dieser Stelle.
Spaltenauswahl für Alle Aktivitäten
In der Tabelle Alle Aktivitäten werden standardmäßig ausgewählte Spalten angezeigt. Um die Spalten hinzuzufügen, zu entfernen oder zu ändern, klicken Sie auf das Zahnradsymbol rechts neben der Tabelle und wählen Sie aus der Liste der verfügbaren Spalten aus.
Aufbewahrung Des Aktivitätsverlaufs
Der Aktivitätsverlauf wird 13 Monate lang in aktiven Workload-Sicherheitsumgebungen aufbewahrt.
Anwendbarkeit von Filtern in Forensics Seite
Filtern | Das macht es | Beispiel | Gilt für diese Filter | Gilt nicht für diese Filter | Ergebnis |
---|---|---|---|---|---|
* (Sternchen) |
Ermöglicht Ihnen die Suche nach allem |
Auto*03172022 Wenn der Suchtext Bindestrich oder Unterstrich enthält, geben Sie den Ausdruck in Klammern an, z. B. (svm*) für die Suche nach svm-123 |
Benutzer, PFAD, Einheitstyp, Gerät, Volume, ursprünglicher Pfad |
Gibt alle Ressourcen zurück, die mit „Auto“ beginnen und mit „03172022“ enden |
|
? (Fragezeichen) |
Ermöglicht die Suche nach einer bestimmten Anzahl von Zeichen |
AutoSabotageUser1_03172022? |
Benutzer, Einheitstyp, Gerät, Volume |
Gibt AutoSabotageUser1_03172022A, AutoSabotageUser1_03172022B, AutoSabotageUser1_031720225 usw. zurück |
|
ODER |
Ermöglicht Ihnen die Angabe mehrerer Elemente |
AutoSabotageUser1_03172022 ODER AutoBefreiUser4_03162022 |
Benutzer, Domäne, PFAD, Entitätstyp, ursprünglicher Pfad |
Gibt eine beliebige von AutoSabotageUser1_03172022 ODER AutoBefreiUser4_03162022 zurück |
|
NICHT |
Ermöglicht das Ausschließen von Text aus den Suchergebnissen |
NICHT automatisch BefreiUser4_03162022 |
Benutzer, Domäne, PFAD, Entitätstyp, ursprünglicher PFAD |
Gerät |
Gibt alles zurück, was nicht mit "AutoBefreiUser4_03162022" beginnt |
Keine |
Sucht in allen Feldern nach Null-Werten |
Keine |
Domäne |
Gibt Ergebnisse an, bei denen das Zielfeld leer ist |
Pfadsuche/Original-Pfadsuche
Suchergebnisse mit und ohne / werden unterschiedlich sein
/AutoDir1/AutoFile |
Funktioniert |
AutoDir1/AutoFile |
Funktioniert nicht |
/AutoDir1/AutoFile (Dir1) |
Dir1 partielle Substring funktioniert nicht |
„/AutoDir1/AutoFile03242022“ |
Genaue Suche funktioniert |
Auto*03242022 |
Funktioniert nicht |
AutoSabotageUser1_03172022? |
Funktioniert nicht |
/AutoDir1/AutoFile03242022 ODER /AutoDir1/AutoFile03242022 |
Funktioniert |
NICHT /AutoDir1/AutoFile03242022 |
Funktioniert |
NICHT /AutoDir1 |
Funktioniert |
NICHT /AutoFile03242022 |
Funktioniert nicht |
* |
Zeigt alle Einträge an |
Lokale Root-SVM-Benutzeraktivitäten ändern sich
Wenn ein lokaler Root-SVM-Benutzer eine Aktivität ausführt, wird die IP des Clients, auf dem die NFS-Freigabe gemountet ist, jetzt im Benutzernamen berücksichtigt, der sowohl auf forensischen Aktivitäten als auch auf Benutzeraktivitäts-Seiten als Root@<ip-address-of-the-client> angezeigt wird.
Beispiel:
-
Wenn SVM-1 von Workload Security überwacht wird und der Root-Benutzer dieser SVM die Freigabe auf einem Client mit der IP-Adresse 10.197.12.40 mountet, lautet der auf der Seite für forensische Aktivitäten angezeigte Benutzername root@10.197.12.40.
-
Wenn dieselbe SVM-1 in einen anderen Client mit der IP-Adresse 10.197.12.41 eingebunden wird, lautet der auf der Seite für forensische Aktivitäten angezeigte Benutzername root@10.197.12.41.
*• Dies wird getan, um NFS-Root-Benutzeraktivität durch IP-Adresse zu trennen. Zuvor wurde die gesamte Aktivität als vom root-Benutzer durchgeführt betrachtet, ohne IP-Unterscheidung.
Fehlerbehebung
Problem |
Versuchen Sie Dies |
In der Tabelle „Alle Aktivitäten“ in der Spalte ‘Benutzer“ wird der Benutzername wie folgt angezeigt: „ldap:HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” oder LDAP:default:80038003“ |
Mögliche Gründe sind: 1. Es wurden noch keine User Directory Collectors konfiguriert. Um einen hinzuzufügen, gehen Sie zu Workload Security > Collectors > User Directory Collectors und klicken Sie auf +User Directory Collector. Wählen Sie Active Directory oder LDAP Directory Server. 2. Ein User Directory Collector wurde konfiguriert, jedoch wurde er angehalten oder befindet sich im Fehlerzustand. Bitte gehen Sie zu Collectors > User Directory Collectors und überprüfen Sie den Status. Tipps zur Fehlerbehebung finden Sie im "Fehlerbehebung für Benutzerverzeichnissammler" Abschnitt der Dokumentation. Nach der ordnungsgemäßen Konfiguration wird der Name innerhalb von 24 Stunden automatisch behoben. Wenn die Lösung immer noch nicht behoben wird, überprüfen Sie, ob Sie den korrekten Benutzer-Data Collector hinzugefügt haben. Stellen Sie sicher, dass der Benutzer tatsächlich Teil des hinzugefügten Active Directory/LDAP Directory Servers ist. |
Einige NFS-Ereignisse werden in der UI nicht angezeigt. |
Überprüfen Sie Folgendes: 1. Ein Benutzer-Verzeichnis-Collector für AD-Server mit POSIX-Attributen sollte mit dem unixid-Attribut ausgeführt werden, das über UI aktiviert ist. 2. Jeder Benutzer, der NFS-Zugriff ausführt, sollte auf der Benutzerseite von UI 3 aus gesehen werden. RAW-Ereignisse (Ereignisse, für die der Benutzer noch nicht erkannt wurde) werden für NFS 4 nicht unterstützt. Anonymer Zugriff auf den NFS-Export wird nicht überwacht. 5. Stellen Sie sicher, dass die NFS-Version in weniger als NFS4.1 verwendet wird. |
Nachdem Sie einige Buchstaben mit einem Platzhalterzeichen wie Sternchen (*) in die Filter auf den Seiten Forensics All Activity oder entities eingegeben haben, werden die Seiten sehr langsam geladen. |
Ein Sternchen (*) in der Suchzeichenfolge sucht nach allem. Führende Platzhalterzeichenfolgen wie *<searchTerm> oder *<searchTerm>* führen jedoch zu einer langsamen Abfrage. Um eine bessere Leistung zu erzielen, verwenden Sie stattdessen Präfix-Strings im Format <searchTerm>* (mit anderen Worten: Fügen Sie das Sternchen (*) nach einem Suchbegriff hinzu). Beispiel: Verwenden Sie den String testvolume* anstatt *testvolume oder *Test*Volume. Verwenden Sie eine Verzeichnissuche, um alle Aktivitäten unterhalb eines bestimmten Ordners rekursiv anzuzeigen (hierarchische Suche). Z.B. werden unter /path1/path2/path3/ oder „/path1/path2/path3/“ alle Vorgänge rekursiv unter /path1/path2/path3 aufgelistet. Alternativ können Sie die Option „zum Filter hinzufügen“ unter der Registerkarte „Alle Aktivitäten“ verwenden. |
Bei der Verwendung eines Pfadfilters tritt ein Fehler „Anfrage fehlgeschlagen mit Statuscode 500/503“ auf. |
Versuchen Sie, einen kleineren Datumsbereich zum Filtern von Datensätzen zu verwenden. |
Die forensische Benutzeroberfläche lädt Daten langsam, wenn der PATH-Filter verwendet wird. |
Verzeichnispfad-Filter (Pfadstring endet mit /) für schnellere Ergebnisse werden bis zu 4 Verzeichnisse empfohlen. Beispiel: Wenn der Verzeichnispfad /AAA/BBB/CCC/DDD ist, versuchen Sie, nach /AAA/BBB/CCC/DDD/ oder „/AAA/BBB/CCC/DDD/“ zu suchen, um Daten schneller zu laden. |