Gestionar evento de cambio de política de auditoría
Cuando se configura un evento de cambio de política de auditoría para una máquina virtual de almacenamiento (SVM) y se habilita una auditoría, se generan eventos de auditoría. Los eventos de cambio de directiva de auditoría se generan cuando se modifica una directiva de auditoría mediante vserver audit
comandos relacionados.
El evento audit-policy-change con el event-id 4719 se genera siempre que se deshabilita, habilita o modifica una directiva de auditoría y ayuda a identificar cuándo un usuario intenta deshabilitar la auditoría para cubrir las pistas. Se configura de forma predeterminada y requiere que se deshabilite los privilegios de diagnóstico.
En el siguiente ejemplo, se muestra un evento de cambio de política de auditoría con el ID 4719 generado cuando se deshabilita una auditoría:
netapp-clus1::*> vserver audit disable -vserver vserver_1 - System - Provider [ Name] NetApp-Security-Auditing [ Guid] {3CB2A168-FE19-4A4E-BDAD-DCF422F13473} EventID 4719 EventName Audit Disabled ... ... SubjectUserName admin SubjectUserSid 65533-1001 SubjectDomainName ~ SubjectIP console SubjectPort