SMB-Ereignisse, die geprüft werden können, Übersicht
ONTAP kann bestimmte SMB-Ereignisse überprüfen, einschließlich bestimmter Datei- und Ordnerzugriffsereignisse, bestimmter Anmelde- und Abmeldungsereignisse sowie zentrale Staging von Zugriffsrichtlinien. Das Wissen, welche Zugriffsereignisse auditiert werden können, ist hilfreich bei der Interpretation der Ergebnisse aus den Ereignisprotokollen.
Die folgenden zusätzlichen SMB Ereignisse können im ONTAP 9.2 und höher geprüft werden:
EREIGNIS-ID (EVT/EVTX) |
Ereignis |
Beschreibung |
Kategorie |
4670 |
Objektberechtigungen wurden geändert |
OBJEKTZUGRIFF: Berechtigungen geändert. |
Dateizugriff |
4907 |
Objektaudits-Einstellungen wurden geändert |
OBJEKTZUGRIFF: Audit-Einstellungen geändert. |
Dateizugriff |
4913 |
Objektzugriffsrichtlinie wurde geändert |
OBJEKTZUGRIFF: KAPPE GEÄNDERT. |
Dateizugriff |
Die folgenden SMB Ereignisse können im ONTAP 9.0 und höher geprüft werden:
EREIGNIS-ID (EVT/EVTX) |
Ereignis |
Beschreibung |
Kategorie |
540/4624 |
Ein Konto wurde erfolgreich angemeldet |
ANMELDUNG/ABMELDUNG: Netzwerk (SMB)-Anmeldung |
Anmeldung und Anmeldung |
529/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Unbekannter Benutzername oder schlechtes Passwort. |
Anmeldung und Anmeldung |
530/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Einschränkung der Anmeldezeit des Kontos. |
Anmeldung und Anmeldung |
531/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Konto derzeit deaktiviert. |
Anmeldung und Anmeldung |
532/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDEN: Benutzerkonto abgelaufen. |
Anmeldung und Anmeldung |
533/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Benutzer kann sich nicht bei diesem Computer anmelden. |
Anmeldung und Anmeldung |
534/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Der Benutzer hat hier keinen Logon-Typ erhalten. |
Anmeldung und Anmeldung |
535/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Das Kennwort des Benutzers ist abgelaufen. |
Anmeldung und Anmeldung |
537/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Anmeldung aus anderen als den oben genannten Gründen fehlgeschlagen. |
Anmeldung und Anmeldung |
539/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Konto gesperrt. |
Anmeldung und Anmeldung |
538/4634 |
Ein Konto wurde abgemeldet |
ANMELDUNG/ABMELDUNG: Lokale oder Netzwerk-Benutzer abmelden. |
Anmeldung und Anmeldung |
560/4656 |
Objekt Öffnen/Objekt Erstellen |
OBJEKTZUGRIFF: Objekt (Datei oder Verzeichnis) geöffnet. |
Dateizugriff |
563/4659 |
Objekt öffnen mit dem zu löschenden Ziel |
OBJEKTZUGRIFF: Ein Handle zu einem Objekt (Datei oder Verzeichnis) wurde mit dem Ziel zum Löschen angefordert. |
Dateizugriff |
564/4660 |
Objekt Löschen |
OBJEKTZUGRIFF: Objekt löschen (Datei oder Verzeichnis). ONTAP generiert dieses Ereignis, wenn ein Windows-Client versucht, das Objekt (Datei oder Verzeichnis) zu löschen. |
Dateizugriff |
567/4663 |
Objekt Lesen/Objekt Schreiben/Objekt-Attribute Abrufen/Objekt-Attribute Festlegen |
OBJEKTZUGRIFF: Objektzugriffsversuch (Lesen, Schreiben, get attribut, set attribut). Hinweis: bei diesem Event prüft ONTAP nur den ersten SMB-Lesevorgang und den ersten SMB-Schreibvorgang (Erfolg oder Fehler) auf einem Objekt. Dadurch wird verhindert, dass ONTAP übermäßige Protokolleinträge erstellt, wenn ein einzelner Client ein Objekt öffnet und viele aufeinanderfolgende Lese- oder Schreibvorgänge an demselben Objekt durchführt. |
Dateizugriff |
NA/4664 |
Harter Link |
OBJEKTZUGRIFF: Es wurde versucht, eine harte Verbindung zu erstellen. |
Dateizugriff |
NA/4818 |
Die vorgeschlagene zentrale Zugangsrichtlinie gewährt nicht dieselben Zugriffsberechtigungen wie die aktuelle zentrale Zugriffsrichtlinie |
OBJEKTZUGRIFF: Zentrale Zugriffsrichtlinien-Staging. |
Dateizugriff |
NA/NA Data ONTAP Ereignis-ID 9999 |
Objekt Umbenennen |
OBJEKTZUGRIFF: Objekt umbenannt. Dies ist ein ONTAP-Event. Derzeit wird es von Windows nicht als einzelnes Ereignis unterstützt. |
Dateizugriff |
NA/NA Data ONTAP Ereignis-ID 9998 |
Verknüpfung Des Objekts Aufheben |
OBJEKTZUGRIFF: Objekt wird nicht verknüpft. Dies ist ein ONTAP-Event. Derzeit wird es von Windows nicht als einzelnes Ereignis unterstützt. |
Dateizugriff |
Weitere Informationen zu Event 4656
Das HandleID
Tag im Überwachungsereignis XML
enthält das Handle des Objekts (Datei oder Verzeichnis), auf das zugegriffen wird. Das HandleID
Tag für das EVTX 4656-Ereignis enthält unterschiedliche Informationen, je nachdem, ob das offene Ereignis zum Erstellen eines neuen Objekts oder zum Öffnen eines vorhandenen Objekts dient:
-
Wenn das offene Ereignis eine offene Anforderung ist, ein neues Objekt (Datei oder Verzeichnis) zu erstellen,
HandleID
zeigt das Tag im XML-Audit-Ereignis ein leeresHandleID
(z.B.:<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>
) An.Der
HandleID
ist leer, da die OFFENE (zum Erstellen eines neuen Objekts) Anforderung vor der eigentlichen Objekterstellung und vor dem Vorhandensein eines Handles geprüft wird. Nachfolgende überwachte Ereignisse für dasselbe Objekt haben das richtige Objekthandle imHandleID
Tag. -
Wenn das offene Ereignis eine offene Anforderung zum Öffnen eines vorhandenen Objekts ist, hat das Audit-Ereignis das zugewiesene Handle dieses Objekts im
HandleID
Tag (z.B.:<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>
).