SMB-Ereignisse, die geprüft werden können, Übersicht
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
ONTAP kann bestimmte SMB-Ereignisse überprüfen, einschließlich bestimmter Datei- und Ordnerzugriffsereignisse, bestimmter Anmelde- und Abmeldungsereignisse sowie zentrale Staging von Zugriffsrichtlinien. Das Wissen, welche Zugriffsereignisse auditiert werden können, ist hilfreich bei der Interpretation der Ergebnisse aus den Ereignisprotokollen.
Die folgenden zusätzlichen SMB Ereignisse können im ONTAP 9.2 und höher geprüft werden:
EREIGNIS-ID (EVT/EVTX) |
Ereignis |
Beschreibung |
Kategorie |
4670 |
Objektberechtigungen wurden geändert |
OBJEKTZUGRIFF: Berechtigungen geändert. |
Dateizugriff |
4907 |
Objektaudits-Einstellungen wurden geändert |
OBJEKTZUGRIFF: Audit-Einstellungen geändert. |
Dateizugriff |
4913 |
Objektzugriffsrichtlinie wurde geändert |
OBJEKTZUGRIFF: KAPPE GEÄNDERT. |
Dateizugriff |
Die folgenden SMB Ereignisse können im ONTAP 9.0 und höher geprüft werden:
EREIGNIS-ID (EVT/EVTX) |
Ereignis |
Beschreibung |
Kategorie |
540/4624 |
Ein Konto wurde erfolgreich angemeldet |
ANMELDUNG/ABMELDUNG: Netzwerk (SMB)-Anmeldung |
Anmeldung und Anmeldung |
529/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Unbekannter Benutzername oder schlechtes Passwort. |
Anmeldung und Anmeldung |
530/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Einschränkung der Anmeldezeit des Kontos. |
Anmeldung und Anmeldung |
531/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Konto derzeit deaktiviert. |
Anmeldung und Anmeldung |
532/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDEN: Benutzerkonto abgelaufen. |
Anmeldung und Anmeldung |
533/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Benutzer kann sich nicht bei diesem Computer anmelden. |
Anmeldung und Anmeldung |
534/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Der Benutzer hat hier keinen Logon-Typ erhalten. |
Anmeldung und Anmeldung |
535/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Das Kennwort des Benutzers ist abgelaufen. |
Anmeldung und Anmeldung |
537/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Anmeldung aus anderen als den oben genannten Gründen fehlgeschlagen. |
Anmeldung und Anmeldung |
539/4625 |
Ein Konto konnte sich nicht anmelden |
ANMELDUNG/ABMELDUNG: Konto gesperrt. |
Anmeldung und Anmeldung |
538/4634 |
Ein Konto wurde abgemeldet |
ANMELDUNG/ABMELDUNG: Lokale oder Netzwerk-Benutzer abmelden. |
Anmeldung und Anmeldung |
560/4656 |
Objekt Öffnen/Objekt Erstellen |
OBJEKTZUGRIFF: Objekt (Datei oder Verzeichnis) geöffnet. |
Dateizugriff |
563/4659 |
Objekt öffnen mit dem zu löschenden Ziel |
OBJEKTZUGRIFF: Ein Handle zu einem Objekt (Datei oder Verzeichnis) wurde mit dem Ziel zum Löschen angefordert. |
Dateizugriff |
564/4660 |
Objekt Löschen |
OBJEKTZUGRIFF: Objekt löschen (Datei oder Verzeichnis). ONTAP generiert dieses Ereignis, wenn ein Windows-Client versucht, das Objekt (Datei oder Verzeichnis) zu löschen. |
Dateizugriff |
567/4663 |
Objekt Lesen/Objekt Schreiben/Objekt-Attribute Abrufen/Objekt-Attribute Festlegen |
OBJEKTZUGRIFF: Objektzugriffsversuch (Lesen, Schreiben, get attribut, set attribut). Hinweis: bei diesem Event prüft ONTAP nur den ersten SMB-Lesevorgang und den ersten SMB-Schreibvorgang (Erfolg oder Fehler) auf einem Objekt. Dadurch wird verhindert, dass ONTAP übermäßige Protokolleinträge erstellt, wenn ein einzelner Client ein Objekt öffnet und viele aufeinanderfolgende Lese- oder Schreibvorgänge an demselben Objekt durchführt. |
Dateizugriff |
NA/4664 |
Harter Link |
OBJEKTZUGRIFF: Es wurde versucht, eine harte Verbindung zu erstellen. |
Dateizugriff |
NA/4818 |
Die vorgeschlagene zentrale Zugangsrichtlinie gewährt nicht dieselben Zugriffsberechtigungen wie die aktuelle zentrale Zugriffsrichtlinie |
OBJEKTZUGRIFF: Zentrale Zugriffsrichtlinien-Staging. |
Dateizugriff |
NA/NA Data ONTAP Ereignis-ID 9999 |
Objekt Umbenennen |
OBJEKTZUGRIFF: Objekt umbenannt. Dies ist ein ONTAP-Event. Derzeit wird es von Windows nicht als einzelnes Ereignis unterstützt. |
Dateizugriff |
NA/NA Data ONTAP Ereignis-ID 9998 |
Verknüpfung Des Objekts Aufheben |
OBJEKTZUGRIFF: Objekt wird nicht verknüpft. Dies ist ein ONTAP-Event. Derzeit wird es von Windows nicht als einzelnes Ereignis unterstützt. |
Dateizugriff |
Weitere Informationen zu Event 4656
Der HandleID
Kennzeichnung im Audit XML
Event enthält den Handle des Objekts (Datei oder Verzeichnis), auf das zugegriffen wird. Der HandleID
Das Tag für das Ereignis EVTX 4656 enthält unterschiedliche Informationen, je nachdem, ob das offene Ereignis zum Erstellen eines neuen Objekts oder zum Öffnen eines vorhandenen Objekts ist:
-
Wenn das offene Ereignis eine offene Anforderung ist, ein neues Objekt (Datei oder Verzeichnis) zu erstellen, wird das angezeigt
HandleID
Das Tag im XML-Ereignis „Audit“ ist leerHandleID
(Beispiel:<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>
).Der
HandleID
Ist leer, weil die OFFENE (zum Erstellen eines neuen Objekts) Anforderung geprüft wird, bevor die tatsächliche Objekterstellung stattfindet und bevor ein Handle vorhanden ist. Nachfolgende geprüfte Ereignisse für dasselbe Objekt haben den richtigen Objektgriff imHandleID
Tag: -
Wenn das offene Ereignis eine offene Anfrage zum Öffnen eines vorhandenen Objekts ist, wird dem Audit-Ereignis das zugewiesene Handle dieses Objekts im zugewiesen
HandleID
Tag (zum Beispiel:<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>
).