Versionshinweise
Überlegungen beim Prüfen alternativer NTFS-Datenströme
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Beim Auditing von Dateien mit alternativen NTFS-Datenströmen müssen Sie bestimmte Überlegungen beachten.
Der Speicherort eines zu auditiditierenden Objekts wird in einem Ereignisdatensatz mit zwei Tags, dem, aufgezeichnet ObjectName Tag (der Pfad) und der HandleID Kennzeichnen (Griff). Um die zu protokollierenden Stream-Anforderungen richtig zu ermitteln, müssen Sie sich bewusst sein, welche ONTAP-Datensätze in diesen Feldern für NTFS-alternative Datenströme enthalten sind:
-
EVTX-ID: 4656 Ereignisse (Öffnen und Erstellen von Audit-Ereignissen)
-
Der Pfad des alternativen Datenstroms wird im aufgezeichnet
ObjectNameTag: -
Das Handle des alternativen Datenstroms wird im aufgezeichnet
HandleIDTag:
-
-
EVTX-ID: 4663 Ereignisse (alle anderen Audit-Ereignisse, wie Lesen, Schreiben, getattr usw.)
-
Der Pfad der Basisdatei, nicht der alternative Datenstrom, wird im aufgezeichnet
ObjectNameTag: -
Das Handle des alternativen Datenstroms wird im aufgezeichnet
HandleIDTag:
-
Das folgende Beispiel zeigt, wie die EVTX-ID identifiziert werden kann: 4663 Ereignisse für alternative Datenströme mit dem HandleID Tag: Obwohl das ObjectName Das Tag (Pfad), das im Ereignis „Audit lesen“ aufgezeichnet wurde, befindet sich in dem Pfad der Basisdatei, dem HandleID Mit dem Tag kann das Ereignis als Prüfdatensatz für den alternativen Datenstrom identifiziert werden.
Stream-Dateinamen nehmen das Formular ein base_file_name:stream_name. In diesem Beispiel ist der dir1 Das Verzeichnis enthält eine Basisdatei mit einem alternativen Datenstrom mit folgenden Pfaden:
/dir1/file1.txt /dir1/file1.txt:stream1
|
Die Ausgabe im folgenden Ereignisbeispiel wird wie angegeben abgeschnitten; in der Ausgabe werden nicht alle verfügbaren Ausgabetags für die Ereignisse angezeigt. |
Bei einer EVTX-ID 4656 (Open Audit Event) zeichnet der Audit-Datensatz-Ausgang für den alternativen Datenstrom den alternativen Namen des Datenstroms in auf ObjectName Tag:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4656</EventID> <EventName>Open Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\> ** [...] </EventData> </Event> - <Event>
Bei einer EVTX-ID 4663 (Ereignis „Audit lesen“) zeichnet die Ausgabe des Prüfdatensätzen für denselben alternativen Datenstrom den Namen der Basisdatei in der auf ObjectName Markieren Sie jedoch den Griff im HandleID Das Tag ist der Griff des alternativen Datenstroms und kann verwendet werden, um dieses Ereignis mit dem alternativen Datenstrom zu korrelieren:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4663</EventID> <EventName>Read Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> ** [...] </EventData> </Event> - <Event>