Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Planen der Überwachungskonfiguration

Beitragende
PDFs

Bevor Sie das Auditing auf Storage Virtual Machines (SVMs) konfigurieren, müssen Sie wissen, welche Konfigurationsoptionen verfügbar sind, und die Werte planen, die Sie für die einzelnen Optionen festlegen möchten. Diese Informationen können Ihnen dabei helfen, die Prüfungskonfiguration zu konfigurieren, die Ihren geschäftlichen Anforderungen entspricht.

Es gibt bestimmte Konfigurationsparameter, die allen Überwachungskonfigurationen gemeinsam sind.

Darüber hinaus gibt es bestimmte Parameter, mit denen Sie angeben können, welche Methoden beim Drehen der konsolidierten und konvertierten Prüfprotokolle verwendet werden. Sie können eine der drei folgenden Methoden angeben, wenn Sie die Prüfung konfigurieren:

  • Drehen Sie Protokolle basierend auf der Protokollgröße

    Dies ist die Standardmethode, mit der Protokolle gedreht werden.

  • Protokolle nach einem Zeitplan drehen

  • Protokolle nach Protokollgröße und Zeitplan rotieren (je nachdem, welches Ereignis zuerst eintritt)

Hinweis

Mindestens eine der Methoden für die Protokollrotation sollte immer eingestellt werden.

Gemeinsame Parameter für alle Überwachungskonfigurationen

Es gibt zwei erforderliche Parameter, die Sie beim Erstellen der Überwachungskonfiguration angeben müssen. Sie können außerdem drei optionale Parameter angeben:

Informationstyp

Option

Erforderlich

Einschließlich

Ihre Werte

SVM Name

Name der SVM, auf der die Audit-Konfiguration erstellt werden soll. Die SVM muss bereits vorhanden sein.

-vserver vserver_name

Ja.

Ja.

Zielpfad protokollieren

Gibt das Verzeichnis an, in dem umgerechnete Audit-Protokolle gespeichert werden, in der Regel ein dediziertes Volume oder qtree. Der Pfad muss im SVM-Namespace bereits vorhanden sein.

Der Pfad kann bis zu 864 Zeichen lang sein und muss über Lese-/Schreibberechtigungen verfügen.

Wenn der Pfad nicht gültig ist, schlägt der Befehl für die Prüfungskonfiguration fehl.

Wenn die SVM eine Disaster-Recovery-Quelle für SVM ist, kann sich der Protokollzielpfad nicht auf dem Root-Volume befinden. Das liegt daran, dass der Root-Volume-Inhalt nicht zum Disaster-Recovery-Ziel repliziert wird.

Sie können ein FlexCache-Volume nicht als Protokollziel verwenden (ONTAP 9.7 und höher).

-destination text

Ja.

Ja.

Kategorien von Ereignissen zur Prüfung

Gibt die Kategorien von zu prüfenden Ereignissen an. Folgende Ereigniskategorien können geprüft werden:

  • Dateizugriff (SMB und NFSv4)

  • SMB-Anmeldung und -Abmeldung

  • Staging von zentralen Zugriffsrichtlinien

    Die Staging-Ereignisse für zentrale Zugriffsrichtlinien sind ab Windows 2012 Active Directory-Domänen verfügbar.

  • Ereignisse in der Kategorie Dateifreigabe

  • Änderungsereignisse für die Überwachungsrichtlinien

  • Lokale Benutzerkontenverwaltungsereignisse

  • Ereignisse für das Management von Sicherheitsgruppen

  • Änderungsereignisse für die Autorisierungsrichtlinie

Der Standardwert ist der Dateizugriff sowie das SMB-Anmelde- und -Abmeldungs-Ereignis.

Hinweis: bevor Sie cap-staging als Ereigniskategorie angeben können, muss ein SMB-Server auf der SVM vorhanden sein. Obwohl Sie die zentrale Zugriffsrichtlinien-Staging in der Überwachungskonfiguration aktivieren können, ohne die dynamische Zugriffskontrolle auf dem SMB-Server zu aktivieren, werden zentrale Zugriffsrichtlinien-Staging-Ereignisse nur erzeugt, wenn Dynamic Access Control aktiviert ist. Die dynamische Zugriffskontrolle wird über eine SMB-Serveroption aktiviert. Sie ist standardmäßig nicht aktiviert.

-events {file-ops

cifs-logon-logoff

cap-staging

file-share

audit-policy-change

user-account

security-group

authorization-policy-change}

Nein

Ausgabeformat Log-Datei

Legt das Ausgabeformat der Prüfprotokolle fest. Das Ausgabeformat kann entweder ONTAP-spezifisch XML oder Microsoft Windows- EVTX`Protokollformat sein. Standardmäßig ist das Ausgabeformat `EVTX .

-format {xml

evtx}

Nein

Log-Dateien Rotationsgrenze

Legt fest, wie viele Audit-Log-Dateien gespeichert werden sollen, bevor die älteste Protokolldatei ausgedreht wird. Wenn Sie beispielsweise einen Wert von eingeben 5, werden die letzten fünf Protokolldateien beibehalten.

Ein Wert von 0 gibt an, dass alle Protokolldateien beibehalten werden. Der Standardwert ist 0.

-rotate-limit integer

Parameter, die zur Bestimmung des Drehungswhres von Audit-Ereignisprotokollen verwendet werden

Protokolle auf Basis der Protokollgröße drehen

Standardmäßig werden Auditprotokolle auf der Grundlage der Größe gedreht.

  • Die Standard-Protokollgröße beträgt 100 MB

  • Wenn Sie die Standard-Protokollrotation-Methode und die Standard-Protokollgröße verwenden möchten, müssen Sie keine spezifischen Parameter für die Protokollrotation konfigurieren.

  • Wenn Sie die Überwachungsprotokolle allein anhand einer Protokollgröße drehen möchten, verwenden Sie den folgenden Befehl, um die Einstellung des -rotate-schedule-minute Parameters aufzuheben: vserver audit modify -vserver vs0 -destination / -rotate-schedule-minute -

Wenn Sie die Standard-Protokollgröße nicht verwenden möchten, können Sie den -rotate-size Parameter so konfigurieren, dass eine benutzerdefinierte Protokollgröße angegeben wird:

Informationstyp

Option

Erforderlich

Einschließlich

Ihre Werte

Größe der Protokolldatei

Bestimmt die Größenbeschränkung der Prüfprotokoll-Datei.

-rotate-size {integer[KB/TB/PB]}

Nein

Protokolle nach Zeitplan drehen

Wenn Sie die Prüfprotokolle nach einem Zeitplan drehen möchten, können Sie die Protokollrotation mithilfe der zeitbasierten Rotationsparameter in beliebiger Kombination planen.

  • Wenn Sie -rotate-schedule-minute eine zeitbasierte Rotation verwenden, ist der Parameter obligatorisch.

  • Alle anderen zeitbasierten Rotationsparameter sind optional.

  • Der Rotationsplan wird unter Verwendung aller zeitbezogenen Werte berechnet.

    Wenn Sie beispielsweise nur den -rotate-schedule-minute Parameter angeben, werden die Audit-Log-Dateien basierend auf den an allen Wochentagen festgelegten Minuten gedreht, während aller Stunden an allen Monaten des Jahres.

  • Wenn Sie nur einen oder zwei zeitbasierte Rotationsparameter angeben (z. B. -rotate-schedule-month und -rotate-schedule-minutes), werden die Protokolldateien basierend auf den Minutenwerten gedreht, die Sie an allen Wochentagen, zu allen Stunden, aber nur während der angegebenen Monate angegeben haben.

    Sie können z. B. angeben, dass das Audit-Protokoll in den Monaten Januar, März und August alle Montag, Mittwoch und Samstag um 10:30 Uhr gedreht werden soll

  • Wenn Sie Werte für -rotate-schedule-dayofweek und angeben -rotate-schedule-day, werden diese unabhängig voneinander betrachtet.

    Wenn Sie beispielsweise -rotate-schedule-dayofweek Freitag und -rotate-schedule-day 13 angeben, werden die Prüfprotokolle an jedem Freitag und am 13. Tag des angegebenen Monats gedreht, nicht nur an jedem Freitag, dem 13…​

  • Wenn Sie die Überwachungsprotokolle allein auf der Grundlage eines Zeitplans drehen möchten, verwenden Sie den folgenden Befehl, um die Einstellung des -rotate-size Parameters aufzuheben: vserver audit modify -vserver vs0 -destination / -rotate-size -

Anhand der folgenden Liste verfügbarer Überwachungsparameter können Sie bestimmen, welche Werte für die Konfiguration eines Zeitplans für die Rotation des Ereignisprotokolls verwendet werden sollen:

Informationstyp

Option

Erforderlich

Einschließlich

Ihre Werte

Drehplan Log: Monat

Legt den monatlichen Zeitplan für rotierende Prüfprotokolle fest.

Gültige Werte sind January durch December, und all. Sie können z. B. angeben, dass das Prüfprotokoll in den Monaten Januar, März und August gedreht werden soll.

-rotate-schedule-month chron_month

Nein

Drehplan Log: Wochentag

Legt den täglichen Zeitplan (Wochentag) für rotierende Prüfprotokolle fest.

Gültige Werte sind Sunday durch Saturday, und all. Sie können z. B. angeben, dass das Audit-Protokoll dienstags und freitags oder an allen Wochentagen gedreht werden soll.

-rotate-schedule-dayofweek chron_dayofweek

Nein

Drehplan Log: Tag

Bestimmt den Tag des Monatsplans für das Drehen des Prüfprotokolls.

Gültige Werte reichen von 1 bis 31. Sie können z. B. angeben, dass das Audit-Protokoll an den 10. Und 20. Tagen eines Monats oder an allen Tagen eines Monats gedreht werden soll.

-rotate-schedule-day chron_dayofmonth

Nein

Drehplan Log: Stunde

Legt den Stundenplan für das Drehen des Prüfprotokolls fest.

Gültige Werte liegen 0 zwischen (Mitternacht) und 23 (11:00 Uhr). Wenn Sie angeben all, werden die Prüfprotokolle stündlich gedreht. Sie können beispielsweise angeben, dass das Prüfprotokoll um 6 (6 Uhr) und 18 (6 Uhr) gedreht werden soll.

-rotate-schedule-hour chron_hour

Nein

Drehplan Log: Minute

Legt den Minutenplan für das Drehen des Prüfprotokolls fest.

Gültige Werte reichen von 0 bis 59. Sie können z. B. angeben, dass das Prüfprotokoll in der 30. Minute gedreht werden soll.

-rotate-schedule-minute chron_minute

Ja, wenn Sie eine planbasierte Protokollrotation konfigurieren, andernfalls Nein

Rundprotokolle basierend auf Loggröße und Zeitplan drehen

Sie können die Protokolldateien anhand der Protokollgröße und eines Zeitplans drehen, indem Sie sowohl den -rotate-size Parameter als auch die zeitbasierten Rotationsparameter in einer beliebigen Kombination festlegen. Beispiel: Wenn -rotate-size auf 10 MB gesetzt ist und -rotate-schedule-minute auf 15 eingestellt ist, drehen sich die Protokolldateien, wenn die Größe der Protokolldatei 10 MB oder auf die 15. Minute jeder Stunde (je nachdem, welches Ereignis zuerst eintritt) erreicht.