Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Obtenga más información sobre la auditoría ONTAP de flujos de datos NTFS alternativos

Colaboradores
PDF

Hay ciertas consideraciones que debe tener en cuenta al auditar archivos con flujos de datos alternativos NTFS.

La ubicación de un objeto que se va a auditar se registra en un registro de evento mediante dos etiquetas, la ObjectName etiqueta (la ruta) y la HandleID etiqueta (el identificador). Para identificar correctamente qué solicitudes de flujo se están registrando, debe tener en cuenta qué registros de ONTAP hay en estos campos para flujos de datos alternativos NTFS:

  • ID DE EVTX: 4656 eventos (abrir y crear eventos de auditoría)

    • La ruta del flujo de datos alternativo se registra en la ObjectName etiqueta.

    • El manejador del flujo de datos alternativo se registra en la HandleID etiqueta.

  • ID DE EVTX: 4663 eventos (el resto de eventos de auditoría, como leído, Write, getattr, etc.)

    • La ruta del archivo base, no la corriente de datos alternativa, se registra en la ObjectName etiqueta.

    • El manejador del flujo de datos alternativo se registra en la HandleID etiqueta.

Ejemplo

El siguiente ejemplo ilustra cómo identificar eventos de EVTX ID: 4663 para flujos de datos alternativos usando la HandleID etiqueta. Aunque la ObjectName etiqueta (ruta de acceso) registrada en el evento de auditoría de lectura sea la ruta de acceso del archivo base, la HandleID etiqueta se puede utilizar para identificar el evento como un registro de auditoría para el flujo de datos alternativo.

Los nombres de archivo de flujo toman el formato base_file_name:stream_name. En este ejemplo, el dir1 directorio contiene un archivo base con un flujo de datos alternativo que tiene las siguientes rutas:

/dir1/file1.txt
/dir1/file1.txt:stream1
Nota

El resultado del ejemplo de evento siguiente se truncará como se indica; la salida no muestra todas las etiquetas de salida disponibles para los eventos.

Para un EVTX ID 4656 (evento de auditoría abierto), la salida del registro de auditoría para el flujo de datos alternativo registra el nombre del flujo de datos alternativo en la ObjectName etiqueta:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4656</EventID>
  <EventName>Open Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\>          **
  [...]
  </EventData>
  </Event>
- <Event>

Para un EVTX ID 4663 (evento de auditoría de lectura), la salida del registro de auditoría para el mismo flujo de datos alternativo registra el nombre del archivo base en la ObjectName etiqueta; sin embargo, el identificador de la HandleID etiqueta es el identificador del flujo de datos alternativo y se puede utilizar para correlacionar este evento con el flujo de datos alternativo:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4663</EventID>
  <EventName>Read Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> **
  [...]
  </EventData>
  </Event>
- <Event>