Eventos SMB que se pueden auditar con información general
Sugerir cambios
PDF
ONTAP puede auditar determinados eventos SMB, incluidos determinados eventos de acceso a archivos y carpetas, determinados eventos de inicio y cierre de sesión y eventos de configuración de directivas de acceso central. Saber qué eventos de acceso se pueden auditar es útil cuando se interpretan los resultados de los registros de eventos.
Los siguientes eventos SMB adicionales se pueden auditar en ONTAP 9.2 y versiones posteriores:
ID DE EVENTO (EVT/EVTX) |
Evento |
Descripción |
Categoría |
4670 |
Se han cambiado los permisos de objeto |
ACCESO A OBJETOS: Se han cambiado los permisos. |
Acceso a archivos |
4907 |
Se ha cambiado la configuración de auditoría de objetos |
ACCESO A OBJETOS: Se ha cambiado la configuración de auditoría. |
Acceso a archivos |
4913 |
Se ha cambiado la política de acceso central de objetos |
ACCESO A OBJETOS: SE HA CAMBIADO LA TAPA. |
Acceso a archivos |
Los siguientes eventos del bloque de mensajes del servidor pueden auditarse en ONTAP 9.0 y versiones posteriores:
ID DE EVENTO (EVT/EVTX) |
Evento |
Descripción |
Categoría |
540/4624 |
Una cuenta se ha conectado correctamente |
INICIO de SESIÓN/CIERRE DE SESIÓN: Inicio de sesión en la red (SMB). |
Inicio de sesión y cierre sesión |
529/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Nombre de usuario desconocido o contraseña incorrecta. |
Inicio de sesión y cierre sesión |
530/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Restricción del tiempo de inicio de sesión de la cuenta. |
Inicio de sesión y cierre sesión |
531/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Cuenta desactivada actualmente. |
Inicio de sesión y cierre sesión |
532/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: La cuenta de usuario ha caducado. |
Inicio de sesión y cierre sesión |
533/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: El usuario no puede iniciar sesión en este equipo. |
Inicio de sesión y cierre sesión |
534/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: El usuario no ha concedido el tipo de inicio de sesión aquí. |
Inicio de sesión y cierre sesión |
535/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: La contraseña del usuario ha caducado. |
Inicio de sesión y cierre sesión |
537/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Error de inicio de sesión por motivos distintos a los anteriores. |
Inicio de sesión y cierre sesión |
539/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Cuenta bloqueada. |
Inicio de sesión y cierre sesión |
538/4634 |
Se ha cerrado una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Cierre de sesión del usuario local o de la red. |
Inicio de sesión y cierre sesión |
560/4656 |
Abra objeto/Crear objeto |
ACCESO A OBJETOS: Objeto (archivo o directorio) abierto. |
Acceso a archivos |
563/4659 |
Abrir objeto con la intención de eliminar |
ACCESO A OBJETOS: Se ha solicitado un controlador a un objeto (archivo o directorio) con el propósito de eliminar. |
Acceso a archivos |
564/4660 |
Eliminar objeto |
ACCESO A OBJETOS: Eliminar objeto (archivo o directorio). ONTAP genera este evento cuando un cliente de Windows intenta eliminar el objeto (archivo o directorio). |
Acceso a archivos |
567/4663 |
Leer objeto/escribir objeto/obtener atributos de objeto/establecer atributos de objeto |
ACCESO A OBJETOS: Intento de acceso al objeto (lectura, escritura, Get Attribute, set attribute). Nota: para este evento, ONTAP sólo audita la primera operación de lectura y escritura de SMB (éxito o fallo) en un objeto. Esto impide que ONTAP cree demasiadas entradas de registro cuando un único cliente abre un objeto y realiza muchas operaciones de lectura o escritura sucesivas al mismo objeto. |
Acceso a archivos |
NA/4664 |
Vínculo rígido |
ACCESO A OBJETOS: Se ha intentado crear un vínculo rígido. |
Acceso a archivos |
NA/4818 PULG |
La directiva de acceso central propuesta no concede los mismos permisos de acceso que la directiva de acceso central actual |
ACCESO A OBJETOS: Configuración de la directiva de acceso central. |
Acceso a archivos |
ID de evento DE Data ONTAP NA/NA 9999 |
Cambiar nombre de objeto |
ACCESO A OBJETOS: Objeto cambiado de nombre. Este es un evento de ONTAP. Actualmente no es compatible con Windows como un único evento. |
Acceso a archivos |
ID Evento Data ONTAP NA/NA 9998 |
Desvincular objeto |
ACCESO A OBJETOS: Objeto no vinculado. Este es un evento de ONTAP. Actualmente no es compatible con Windows como un único evento. |
Acceso a archivos |
Información adicional sobre el evento 4656
La HandleID etiquete la auditoría XML el evento contiene el controlador del objeto (archivo o directorio) al que se tiene acceso. La HandleID La etiqueta para el evento EVTX 4656 contiene información diferente dependiendo de si el evento abierto es para crear un nuevo objeto o para abrir un objeto existente:
-
Si el evento abierto es una solicitud abierta para crear un nuevo objeto (archivo o directorio), el
HandleIDLa etiqueta del evento XML de auditoría muestra un campo vacíoHandleID(por ejemplo:<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>).La
HandleIDEstá vacío porque la solicitud ABIERTA (para crear un nuevo objeto) se audita antes de que se produzca la creación real del objeto y antes de que exista un controlador. Los eventos auditados posteriores del mismo objeto tienen el control de objeto correcto enHandleIDetiquetar. -
Si el evento abierto es una solicitud abierta para abrir un objeto existente, el evento de auditoría tendrá el controlador asignado de ese objeto en el
HandleIDtag (por ejemplo:<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>).