Überlegungen beim Prüfen alternativer NTFS-Datenströme
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Beim Auditing von Dateien mit alternativen NTFS-Datenströmen müssen Sie bestimmte Überlegungen beachten.
Der Speicherort eines zu auditiditierenden Objekts wird in einem Ereignisdatensatz mit zwei Tags, dem, aufgezeichnet ObjectName
Tag (der Pfad) und der HandleID
Kennzeichnen (Griff). Um die zu protokollierenden Stream-Anforderungen richtig zu ermitteln, müssen Sie sich bewusst sein, welche ONTAP-Datensätze in diesen Feldern für NTFS-alternative Datenströme enthalten sind:
-
EVTX-ID: 4656 Ereignisse (Öffnen und Erstellen von Audit-Ereignissen)
-
Der Pfad des alternativen Datenstroms wird im aufgezeichnet
ObjectName
Tag: -
Das Handle des alternativen Datenstroms wird im aufgezeichnet
HandleID
Tag:
-
-
EVTX-ID: 4663 Ereignisse (alle anderen Audit-Ereignisse, wie Lesen, Schreiben, getattr usw.)
-
Der Pfad der Basisdatei, nicht der alternative Datenstrom, wird im aufgezeichnet
ObjectName
Tag: -
Das Handle des alternativen Datenstroms wird im aufgezeichnet
HandleID
Tag:
-
Das folgende Beispiel zeigt, wie die EVTX-ID identifiziert werden kann: 4663 Ereignisse für alternative Datenströme mit dem HandleID
Tag: Obwohl das ObjectName
Das Tag (Pfad), das im Ereignis „Audit lesen“ aufgezeichnet wurde, befindet sich in dem Pfad der Basisdatei, dem HandleID
Mit dem Tag kann das Ereignis als Prüfdatensatz für den alternativen Datenstrom identifiziert werden.
Stream-Dateinamen nehmen das Formular ein base_file_name:stream_name
. In diesem Beispiel ist der dir1
Das Verzeichnis enthält eine Basisdatei mit einem alternativen Datenstrom mit folgenden Pfaden:
/dir1/file1.txt /dir1/file1.txt:stream1
Die Ausgabe im folgenden Ereignisbeispiel wird wie angegeben abgeschnitten; in der Ausgabe werden nicht alle verfügbaren Ausgabetags für die Ereignisse angezeigt. |
Bei einer EVTX-ID 4656 (Open Audit Event) zeichnet der Audit-Datensatz-Ausgang für den alternativen Datenstrom den alternativen Namen des Datenstroms in auf ObjectName
Tag:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4656</EventID> <EventName>Open Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\> ** [...] </EventData> </Event> - <Event>
Bei einer EVTX-ID 4663 (Ereignis „Audit lesen“) zeichnet die Ausgabe des Prüfdatensätzen für denselben alternativen Datenstrom den Namen der Basisdatei in der auf ObjectName
Markieren Sie jedoch den Griff im HandleID
Das Tag ist der Griff des alternativen Datenstroms und kann verwendet werden, um dieses Ereignis mit dem alternativen Datenstrom zu korrelieren:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4663</EventID> <EventName>Read Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> ** [...] </EventData> </Event> - <Event>