Notas de la versión
Consideraciones al auditar flujos de datos NTFS alternativos
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Protección de datos con la interfaz de línea de comandos
-
-
Recopilación de documentos PDF independientes
Creating your file...
Hay ciertas consideraciones que debe tener en cuenta al auditar archivos con flujos de datos alternativos NTFS.
La ubicación de un objeto que se va a auditar se registra en un registro de eventos mediante dos etiquetas, la ObjectName etiquete (la ruta) y el HandleID etiqueta (el asa). Para identificar correctamente qué solicitudes de flujo se están registrando, debe tener en cuenta qué registros de ONTAP hay en estos campos para flujos de datos alternativos NTFS:
-
ID DE EVTX: 4656 eventos (abrir y crear eventos de auditoría)
-
La ruta de la secuencia de datos alternativa se registra en la
ObjectNameetiquetar. -
El controlador de la secuencia de datos alternativa se registra en la
HandleIDetiquetar.
-
-
ID DE EVTX: 4663 eventos (el resto de eventos de auditoría, como leído, Write, getattr, etc.)
-
La ruta del archivo base, no la secuencia de datos alternativa, se registra en la
ObjectNameetiquetar. -
El controlador de la secuencia de datos alternativa se registra en la
HandleIDetiquetar.
-
El ejemplo siguiente ilustra cómo identificar EVTX ID: Eventos 4663 para flujos de datos alternativos mediante el HandleID etiquetar. Aunque la ObjectName etiqueta (ruta) registrada en el evento de auditoría de lectura es en la ruta de acceso del archivo base, la HandleID la etiqueta se puede utilizar para identificar el evento como un registro de auditoría para la corriente de datos alternativa.
Los nombres de los archivos de flujo toman el formulario base_file_name:stream_name. En este ejemplo, la dir1 el directorio contiene un archivo base con una secuencia de datos alternativa que tiene las siguientes rutas:
/dir1/file1.txt /dir1/file1.txt:stream1
|
El resultado del ejemplo de evento siguiente se truncará como se indica; la salida no muestra todas las etiquetas de salida disponibles para los eventos. |
Para un ID de EVTX 4656 (evento de auditoría abierto), la salida de registro de auditoría para la corriente de datos alternativa registra el nombre de la corriente de datos alternativa en ObjectName etiqueta:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4656</EventID> <EventName>Open Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\> ** [...] </EventData> </Event> - <Event>
Para un ID de EVTX 4663 (evento de auditoría de lectura), la salida de registro de auditoría de la misma corriente de datos alternativa registra el nombre del archivo base en ObjectName sin embargo, el asa del HandleID tag es el identificador de la secuencia de datos alternativa y se puede utilizar para correlacionar este evento con la secuencia de datos alternativa:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4663</EventID> <EventName>Read Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> ** [...] </EventData> </Event> - <Event>