Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Überlegungen beim Prüfen alternativer NTFS-Datenströme

Beitragende
PDFs

Beim Auditing von Dateien mit alternativen NTFS-Datenströmen müssen Sie bestimmte Überlegungen beachten.

Die Position eines zu überwachenden Objekts wird in einem Ereignisdatensatz mit zwei Tags, dem ObjectName Tag (dem Pfad) und dem HandleID Tag (dem Handle) aufgezeichnet. Um die zu protokollierenden Stream-Anforderungen richtig zu ermitteln, müssen Sie sich bewusst sein, welche ONTAP-Datensätze in diesen Feldern für NTFS-alternative Datenströme enthalten sind:

  • EVTX-ID: 4656 Ereignisse (Öffnen und Erstellen von Audit-Ereignissen)

    • Der Pfad des alternativen Datenstroms wird im ObjectName Tag aufgezeichnet.

    • Das Handle des alternativen Datenstroms wird im HandleID Tag aufgezeichnet.

  • EVTX-ID: 4663 Ereignisse (alle anderen Audit-Ereignisse, wie Lesen, Schreiben, getattr usw.)

    • Der Pfad der Basisdatei, nicht der alternative Datenstrom, wird im ObjectName Tag aufgezeichnet.

    • Das Handle des alternativen Datenstroms wird im HandleID Tag aufgezeichnet.

Beispiel

Das folgende Beispiel zeigt, wie man EVTX ID identifiziert: 4663 Ereignisse für alternative Datenströme mit dem HandleID Tag. Obwohl das ObjectName im Ereignis „Leseprüfung“ aufgezeichnete Tag (Pfad) auf den Pfad der Basisdatei zutrifft, HandleID kann das Tag verwendet werden, um das Ereignis als Überwachungsdatensatz für den alternativen Datenstrom zu identifizieren.

Stream-Dateinamen nehmen das Formular base_file_name:stream_name. In diesem Beispiel dir1 enthält das Verzeichnis eine Basisdatei mit einem alternativen Datenstrom, der die folgenden Pfade hat:

/dir1/file1.txt
/dir1/file1.txt:stream1
Hinweis

Die Ausgabe im folgenden Ereignisbeispiel wird wie angegeben abgeschnitten; in der Ausgabe werden nicht alle verfügbaren Ausgabetags für die Ereignisse angezeigt.

Bei einer EVTX-ID 4656 (offenes Audit-Ereignis) zeichnet die Ausgabe des Audit-Datensatzes für den alternativen Datenstrom den alternativen Datenstromnamen im ObjectName Tag auf:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4656</EventID>
  <EventName>Open Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\>          **
  [...]
  </EventData>
  </Event>
- <Event>

Bei einer EVTX-ID 4663 (Leseaudit-Ereignis) zeichnet die Ausgabe des Audit-Datensatzes für denselben alternativen Datenstrom den Basisdateinamen im ObjectName Tag auf. Der Handle im HandleID Tag ist jedoch der Handle des alternativen Datenstroms und kann verwendet werden, um dieses Ereignis mit dem alternativen Datenstrom zu korrelieren:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4663</EventID>
  <EventName>Read Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> **
  [...]
  </EventData>
  </Event>
- <Event>