Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

SMB-Ereignisse, die geprüft werden können, Übersicht

Beitragende

ONTAP kann bestimmte SMB-Ereignisse überprüfen, einschließlich bestimmter Datei- und Ordnerzugriffsereignisse, bestimmter Anmelde- und Abmeldungsereignisse sowie zentrale Staging von Zugriffsrichtlinien. Das Wissen, welche Zugriffsereignisse auditiert werden können, ist hilfreich bei der Interpretation der Ergebnisse aus den Ereignisprotokollen.

Die folgenden zusätzlichen SMB Ereignisse können im ONTAP 9.2 und höher geprüft werden:

EREIGNIS-ID (EVT/EVTX)

Ereignis

Beschreibung

Kategorie

4670

Objektberechtigungen wurden geändert

OBJEKTZUGRIFF: Berechtigungen geändert.

Dateizugriff

4907

Objektaudits-Einstellungen wurden geändert

OBJEKTZUGRIFF: Audit-Einstellungen geändert.

Dateizugriff

4913

Objektzugriffsrichtlinie wurde geändert

OBJEKTZUGRIFF: KAPPE GEÄNDERT.

Dateizugriff

Die folgenden SMB Ereignisse können im ONTAP 9.0 und höher geprüft werden:

EREIGNIS-ID (EVT/EVTX)

Ereignis

Beschreibung

Kategorie

540/4624

Ein Konto wurde erfolgreich angemeldet

ANMELDUNG/ABMELDUNG: Netzwerk (SMB)-Anmeldung

Anmeldung und Anmeldung

529/4625

Ein Konto konnte sich nicht anmelden

ANMELDUNG/ABMELDUNG: Unbekannter Benutzername oder schlechtes Passwort.

Anmeldung und Anmeldung

530/4625

Ein Konto konnte sich nicht anmelden

ANMELDUNG/ABMELDUNG: Einschränkung der Anmeldezeit des Kontos.

Anmeldung und Anmeldung

531/4625

Ein Konto konnte sich nicht anmelden

ANMELDUNG/ABMELDUNG: Konto derzeit deaktiviert.

Anmeldung und Anmeldung

532/4625

Ein Konto konnte sich nicht anmelden

ANMELDUNG/ABMELDEN: Benutzerkonto abgelaufen.

Anmeldung und Anmeldung

533/4625

Ein Konto konnte sich nicht anmelden

ANMELDUNG/ABMELDUNG: Benutzer kann sich nicht bei diesem Computer anmelden.

Anmeldung und Anmeldung

534/4625

Ein Konto konnte sich nicht anmelden

ANMELDUNG/ABMELDUNG: Der Benutzer hat hier keinen Logon-Typ erhalten.

Anmeldung und Anmeldung

535/4625

Ein Konto konnte sich nicht anmelden

ANMELDUNG/ABMELDUNG: Das Kennwort des Benutzers ist abgelaufen.

Anmeldung und Anmeldung

537/4625

Ein Konto konnte sich nicht anmelden

ANMELDUNG/ABMELDUNG: Anmeldung aus anderen als den oben genannten Gründen fehlgeschlagen.

Anmeldung und Anmeldung

539/4625

Ein Konto konnte sich nicht anmelden

ANMELDUNG/ABMELDUNG: Konto gesperrt.

Anmeldung und Anmeldung

538/4634

Ein Konto wurde abgemeldet

ANMELDUNG/ABMELDUNG: Lokale oder Netzwerk-Benutzer abmelden.

Anmeldung und Anmeldung

560/4656

Objekt Öffnen/Objekt Erstellen

OBJEKTZUGRIFF: Objekt (Datei oder Verzeichnis) geöffnet.

Dateizugriff

563/4659

Objekt öffnen mit dem zu löschenden Ziel

OBJEKTZUGRIFF: Ein Handle zu einem Objekt (Datei oder Verzeichnis) wurde mit dem Ziel zum Löschen angefordert.

Dateizugriff

564/4660

Objekt Löschen

OBJEKTZUGRIFF: Objekt löschen (Datei oder Verzeichnis). ONTAP generiert dieses Ereignis, wenn ein Windows-Client versucht, das Objekt (Datei oder Verzeichnis) zu löschen.

Dateizugriff

567/4663

Objekt Lesen/Objekt Schreiben/Objekt-Attribute Abrufen/Objekt-Attribute Festlegen

OBJEKTZUGRIFF: Objektzugriffsversuch (Lesen, Schreiben, get attribut, set attribut).

Hinweis: bei diesem Event prüft ONTAP nur den ersten SMB-Lesevorgang und den ersten SMB-Schreibvorgang (Erfolg oder Fehler) auf einem Objekt. Dadurch wird verhindert, dass ONTAP übermäßige Protokolleinträge erstellt, wenn ein einzelner Client ein Objekt öffnet und viele aufeinanderfolgende Lese- oder Schreibvorgänge an demselben Objekt durchführt.

Dateizugriff

NA/4664

Harter Link

OBJEKTZUGRIFF: Es wurde versucht, eine harte Verbindung zu erstellen.

Dateizugriff

NA/4818

Die vorgeschlagene zentrale Zugangsrichtlinie gewährt nicht dieselben Zugriffsberechtigungen wie die aktuelle zentrale Zugriffsrichtlinie

OBJEKTZUGRIFF: Zentrale Zugriffsrichtlinien-Staging.

Dateizugriff

NA/NA Data ONTAP Ereignis-ID 9999

Objekt Umbenennen

OBJEKTZUGRIFF: Objekt umbenannt. Dies ist ein ONTAP-Event. Derzeit wird es von Windows nicht als einzelnes Ereignis unterstützt.

Dateizugriff

NA/NA Data ONTAP Ereignis-ID 9998

Verknüpfung Des Objekts Aufheben

OBJEKTZUGRIFF: Objekt wird nicht verknüpft. Dies ist ein ONTAP-Event. Derzeit wird es von Windows nicht als einzelnes Ereignis unterstützt.

Dateizugriff

Weitere Informationen zu Event 4656

Das HandleID Tag im Überwachungsereignis XML enthält das Handle des Objekts (Datei oder Verzeichnis), auf das zugegriffen wird. Das HandleID Tag für das EVTX 4656-Ereignis enthält unterschiedliche Informationen, je nachdem, ob das offene Ereignis zum Erstellen eines neuen Objekts oder zum Öffnen eines vorhandenen Objekts dient:

  • Wenn das offene Ereignis eine offene Anforderung ist, ein neues Objekt (Datei oder Verzeichnis) zu erstellen, HandleID zeigt das Tag im XML-Audit-Ereignis ein leeres HandleID (z.B.: <Data Name="HandleID">00000000000000;00;00000000;00000000</Data> ) An.

    Der HandleID ist leer, da die OFFENE (zum Erstellen eines neuen Objekts) Anforderung vor der eigentlichen Objekterstellung und vor dem Vorhandensein eines Handles geprüft wird. Nachfolgende überwachte Ereignisse für dasselbe Objekt haben das richtige Objekthandle im HandleID Tag.

  • Wenn das offene Ereignis eine offene Anforderung zum Öffnen eines vorhandenen Objekts ist, hat das Audit-Ereignis das zugewiesene Handle dieses Objekts im HandleID Tag (z.B.: <Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data> ).