Événements SMB pouvant être audités
Suggérer des modifications
PDF
ONTAP peut auditer certains événements SMB, notamment certains événements d'accès aux fichiers et aux dossiers, certains événements de connexion et de déconnexion, et des événements d'activation des règles d'accès central. Savoir quels événements d'accès peuvent être audités est utile pour interpréter les résultats des journaux d'événements.
Les événements SMB supplémentaires suivants peuvent être audités dans ONTAP 9.2 et versions ultérieures :
ID D'ÉVÉNEMENT (EVT/EVTX) |
Événement |
Description |
Catégorie |
4670 |
Les autorisations d'objet ont été modifiées |
ACCÈS AUX OBJETS : autorisations modifiées. |
Accès aux fichiers |
4907 |
Les paramètres d'audit d'objet ont été modifiés |
ACCÈS À L'OBJET : paramètres d'audit modifiés. |
Accès aux fichiers |
4913 |
La stratégie d'accès à Object Central a été modifiée |
ACCÈS À L'OBJET : BOUCHON MODIFIÉ. |
Accès aux fichiers |
Les événements SMB suivants peuvent être audités dans ONTAP 9.0 et versions ultérieures :
ID D'ÉVÉNEMENT (EVT/EVTX) |
Événement |
Description |
Catégorie |
540/4624 |
Un compte a été connecté avec succès |
CONNEXION/DÉCONNEXION : connexion réseau (SMB). |
Connexion et déconnexion |
529/4625 |
Impossible de se connecter à un compte |
CONNEXION/DÉCONNEXION : nom d'utilisateur inconnu ou mot de passe incorrect. |
Connexion et déconnexion |
530/4625 |
Impossible de se connecter à un compte |
OUVERTURE/FERMETURE de SESSION : restriction de l'heure de connexion au compte. |
Connexion et déconnexion |
531/4625 |
Impossible de se connecter à un compte |
CONNEXION/DÉCONNEXION : compte actuellement désactivé. |
Connexion et déconnexion |
532/4625 |
Impossible de se connecter à un compte |
OUVERTURE/FERMETURE DE SESSION : le compte utilisateur a expiré. |
Connexion et déconnexion |
533/4625 |
Impossible de se connecter à un compte |
OUVERTURE/FERMETURE DE SESSION : l'utilisateur ne peut pas se connecter à cet ordinateur. |
Connexion et déconnexion |
534/4625 |
Impossible de se connecter à un compte |
OUVERTURE DE SESSION/DÉCONNEXION : l'utilisateur n'a pas accordé de type de connexion ici. |
Connexion et déconnexion |
535/4625 |
Impossible de se connecter à un compte |
OUVERTURE/FERMETURE DE SESSION : le mot de passe de l'utilisateur a expiré. |
Connexion et déconnexion |
537/4625 |
Impossible de se connecter à un compte |
OUVERTURE/FERMETURE de SESSION : la connexion a échoué pour des raisons autres que ci-dessus. |
Connexion et déconnexion |
539/4625 |
Impossible de se connecter à un compte |
OUVERTURE DE SESSION/DÉCONNEXION : compte verrouillé. |
Connexion et déconnexion |
538/4634 |
Un compte a été déconnecté |
OUVERTURE/FERMETURE DE SESSION : déconnexion de l'utilisateur local ou réseau. |
Connexion et déconnexion |
560/4656 |
Ouvrir objet/Créer objet |
ACCÈS EN MODE OBJET : objet (fichier ou répertoire) ouvert. |
Accès aux fichiers |
563/4659 |
Ouvrez l'objet avec l'intention de supprimer |
ACCÈS AUX OBJETS : un descripteur d'objet (fichier ou répertoire) a été demandé avec l'intention de supprimer. |
Accès aux fichiers |
564/4660 |
Supprimer l'objet |
ACCÈS OBJET : supprimer l'objet (fichier ou répertoire). ONTAP génère cet événement lorsqu'un client Windows tente de supprimer l'objet (fichier ou répertoire). |
Accès aux fichiers |
567/4663 |
Lire objet/Ecrire objet/obtenir attributs d'objet/définir attributs d'objet |
ACCÈS AUX OBJETS : tentative d'accès aux objets (lecture, écriture, obtenir l'attribut, définir l'attribut). Remarque : pour cet événement, ONTAP vérifie uniquement la première opération de lecture SMB et la première opération d'écriture SMB (succès ou échec) sur un objet. Cela empêche ONTAP de créer un nombre excessif d'entrées de journal lorsqu'un seul client ouvre un objet et effectue de nombreuses opérations de lecture ou d'écriture successives sur le même objet. |
Accès aux fichiers |
NA/4664 |
Lien dur |
ACCÈS À L'OBJET : tentative de création d'un lien dur. |
Accès aux fichiers |
NA/4818 |
La politique d'accès central proposée n'accorde pas les mêmes autorisations d'accès que la politique d'accès central actuelle |
ACCÈS AUX OBJETS : transfert de la stratégie d'accès central. |
Accès aux fichiers |
Na/NA - ID d'événement Data ONTAP 9999 |
Renommer l'objet |
ACCÈS OBJET : objet renommé. Il s'agit d'un événement ONTAP. Windows ne prend actuellement pas en charge cet événement en tant qu'événement unique. |
Accès aux fichiers |
Na/NA Data ONTAP ID d'événement 9998 |
Dissocier l'objet |
ACCÈS AUX OBJETS : objet non lié. Il s'agit d'un événement ONTAP. Windows ne prend actuellement pas en charge cet événement en tant qu'événement unique. |
Accès aux fichiers |
Informations supplémentaires sur l'événement 4656
Le HandleID dans l'audit XML event contient le descripteur de l'objet (fichier ou répertoire) accédé. Le HandleID La balise de l'événement EVTX 4656 contient des informations différentes selon que l'événement ouvert permet de créer un nouvel objet ou d'ouvrir un objet existant :
-
Si l'événement ouvert est une demande ouverte pour créer un nouvel objet (fichier ou répertoire), le
HandleIDLa balise dans l'événement XML d'audit affiche un videHandleID(par exemple :<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>).Le
HandleIDEst vide car la demande OUVERTE (pour la création d'un nouvel objet) est auditée avant la création réelle de l'objet et avant qu'un descripteur n'existe. Les événements audités suivants pour le même objet ont le bon descripteur d'objet dans leHandleIDbalise : -
Si l'événement ouvert est une demande ouverte d'ouverture d'un objet existant, l'événement d'audit aura le descripteur affecté à cet objet dans le
HandleIDbalise (par exemple :<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>).