Obtenga más información sobre los eventos de bloque de mensajes del servidor que ONTAP puede auditar para interpretar los resultados
Sugerir cambios
PDF
ONTAP puede auditar determinados eventos SMB, incluidos determinados eventos de acceso a archivos y carpetas, determinados eventos de inicio y cierre de sesión y eventos de configuración de directivas de acceso central. Saber qué eventos de acceso se pueden auditar es útil cuando se interpretan los resultados de los registros de eventos.
Se pueden auditar los siguientes eventos SMB adicionales:
ID DE EVENTO (EVT/EVTX) |
Evento |
Descripción |
Categoría |
4670 |
Se han cambiado los permisos de objeto |
ACCESO A OBJETOS: Se han cambiado los permisos. |
Acceso a archivos |
4907 |
Se ha cambiado la configuración de auditoría de objetos |
ACCESO A OBJETOS: Se ha cambiado la configuración de auditoría. |
Acceso a archivos |
4913 |
Se ha cambiado la política de acceso central de objetos |
ACCESO A OBJETOS: SE HA CAMBIADO LA TAPA. |
Acceso a archivos |
Los siguientes eventos del bloque de mensajes del servidor pueden auditarse en ONTAP 9.0 y versiones posteriores:
ID DE EVENTO (EVT/EVTX) |
Evento |
Descripción |
Categoría |
540/4624 |
Una cuenta se ha conectado correctamente |
INICIO de SESIÓN/CIERRE DE SESIÓN: Inicio de sesión en la red (SMB). |
Inicio de sesión y cierre sesión |
529/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Nombre de usuario desconocido o contraseña incorrecta. |
Inicio de sesión y cierre sesión |
530/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Restricción del tiempo de inicio de sesión de la cuenta. |
Inicio de sesión y cierre sesión |
531/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Cuenta desactivada actualmente. |
Inicio de sesión y cierre sesión |
532/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: La cuenta de usuario ha caducado. |
Inicio de sesión y cierre sesión |
533/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: El usuario no puede iniciar sesión en este equipo. |
Inicio de sesión y cierre sesión |
534/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: El usuario no ha concedido el tipo de inicio de sesión aquí. |
Inicio de sesión y cierre sesión |
535/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: La contraseña del usuario ha caducado. |
Inicio de sesión y cierre sesión |
537/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Error de inicio de sesión por motivos distintos a los anteriores. |
Inicio de sesión y cierre sesión |
539/4625 |
No se pudo iniciar sesión en una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Cuenta bloqueada. |
Inicio de sesión y cierre sesión |
538/4634 |
Se ha cerrado una cuenta |
INICIO de SESIÓN/CIERRE DE SESIÓN: Cierre de sesión del usuario local o de la red. |
Inicio de sesión y cierre sesión |
560/4656 |
Abra objeto/Crear objeto |
ACCESO A OBJETOS: Objeto (archivo o directorio) abierto. |
Acceso a archivos |
563/4659 |
Abrir objeto con la intención de eliminar |
ACCESO A OBJETOS: Se ha solicitado un controlador a un objeto (archivo o directorio) con el propósito de eliminar. |
Acceso a archivos |
564/4660 |
Eliminar objeto |
ACCESO A OBJETOS: Eliminar objeto (archivo o directorio). ONTAP genera este evento cuando un cliente de Windows intenta eliminar el objeto (archivo o directorio). |
Acceso a archivos |
567/4663 |
Leer objeto/escribir objeto/obtener atributos de objeto/establecer atributos de objeto |
ACCESO A OBJETOS: Intento de acceso al objeto (lectura, escritura, Get Attribute, set attribute). Nota: para este evento, ONTAP sólo audita la primera operación de lectura y escritura de SMB (éxito o fallo) en un objeto. Esto impide que ONTAP cree demasiadas entradas de registro cuando un único cliente abre un objeto y realiza muchas operaciones de lectura o escritura sucesivas al mismo objeto. |
Acceso a archivos |
NA/4664 PULG |
Vínculo rígido |
ACCESO A OBJETOS: Se ha intentado crear un vínculo rígido. |
Acceso a archivos |
NA/4818 PULG |
La directiva de acceso central propuesta no concede los mismos permisos de acceso que la directiva de acceso central actual |
ACCESO A OBJETOS: Configuración de la directiva de acceso central. |
Acceso a archivos |
ID Evento Data ONTAP NA/NA 9999 |
Cambiar nombre de objeto |
ACCESO A OBJETOS: Objeto cambiado de nombre. Este es un evento de ONTAP. Actualmente no es compatible con Windows como un único evento. |
Acceso a archivos |
ID Evento Data ONTAP NA/NA 9998 |
Desvincular objeto |
ACCESO A OBJETOS: Objeto no vinculado. Este es un evento de ONTAP. Actualmente no es compatible con Windows como un único evento. |
Acceso a archivos |
Información adicional sobre el evento 4656
La HandleID etiqueta del XML evento de auditoría contiene el manejador del objeto (archivo o directorio) al que se accede. La HandleID etiqueta para el evento EVTX 4656 contiene información diferente dependiendo de si el evento abierto es para crear un nuevo objeto o para abrir un objeto existente:
-
Si el evento abierto es una solicitud abierta para crear un nuevo objeto (archivo o directorio), la
HandleIDetiqueta del evento XML de auditoría muestra un valor vacíoHandleID(por ejemplo<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>: ).El
HandleIDestá vacío porque la solicitud OPEN (para crear un nuevo objeto) se audita antes de que se cree el objeto real y antes de que exista un manejador. Los eventos auditados posteriores para el mismo objeto tienen el manejador de objeto correcto en laHandleIDetiqueta. -
Si el evento abierto es una solicitud abierta para abrir un objeto existente, el evento de auditoría tendrá el manejador asignado de ese objeto en la
HandleIDetiqueta (por ejemplo<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>: ).