Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Événements SMB pouvant être audités

Contributeurs
PDF

ONTAP peut auditer certains événements SMB, notamment certains événements d'accès aux fichiers et aux dossiers, certains événements de connexion et de déconnexion, et des événements d'activation des règles d'accès central. Savoir quels événements d'accès peuvent être audités est utile pour interpréter les résultats des journaux d'événements.

Les événements SMB supplémentaires suivants peuvent être audités dans ONTAP 9.2 et versions ultérieures :

ID D'ÉVÉNEMENT (EVT/EVTX)

Événement

Description

Catégorie

4670

Les autorisations d'objet ont été modifiées

ACCÈS AUX OBJETS : autorisations modifiées.

Accès aux fichiers

4907

Les paramètres d'audit d'objet ont été modifiés

ACCÈS À L'OBJET : paramètres d'audit modifiés.

Accès aux fichiers

4913

La stratégie d'accès à Object Central a été modifiée

ACCÈS À L'OBJET : BOUCHON MODIFIÉ.

Accès aux fichiers

Les événements SMB suivants peuvent être audités dans ONTAP 9.0 et versions ultérieures :

ID D'ÉVÉNEMENT (EVT/EVTX)

Événement

Description

Catégorie

540/4624

Un compte a été connecté avec succès

CONNEXION/DÉCONNEXION : connexion réseau (SMB).

Connexion et déconnexion

529/4625

Impossible de se connecter à un compte

CONNEXION/DÉCONNEXION : nom d'utilisateur inconnu ou mot de passe incorrect.

Connexion et déconnexion

530/4625

Impossible de se connecter à un compte

OUVERTURE/FERMETURE de SESSION : restriction de l'heure de connexion au compte.

Connexion et déconnexion

531/4625

Impossible de se connecter à un compte

CONNEXION/DÉCONNEXION : compte actuellement désactivé.

Connexion et déconnexion

532/4625

Impossible de se connecter à un compte

OUVERTURE/FERMETURE DE SESSION : le compte utilisateur a expiré.

Connexion et déconnexion

533/4625

Impossible de se connecter à un compte

OUVERTURE/FERMETURE DE SESSION : l'utilisateur ne peut pas se connecter à cet ordinateur.

Connexion et déconnexion

534/4625

Impossible de se connecter à un compte

OUVERTURE DE SESSION/DÉCONNEXION : l'utilisateur n'a pas accordé de type de connexion ici.

Connexion et déconnexion

535/4625

Impossible de se connecter à un compte

OUVERTURE/FERMETURE DE SESSION : le mot de passe de l'utilisateur a expiré.

Connexion et déconnexion

537/4625

Impossible de se connecter à un compte

OUVERTURE/FERMETURE de SESSION : la connexion a échoué pour des raisons autres que ci-dessus.

Connexion et déconnexion

539/4625

Impossible de se connecter à un compte

OUVERTURE DE SESSION/DÉCONNEXION : compte verrouillé.

Connexion et déconnexion

538/4634

Un compte a été déconnecté

OUVERTURE/FERMETURE DE SESSION : déconnexion de l'utilisateur local ou réseau.

Connexion et déconnexion

560/4656

Ouvrir objet/Créer objet

ACCÈS EN MODE OBJET : objet (fichier ou répertoire) ouvert.

Accès aux fichiers

563/4659

Ouvrez l'objet avec l'intention de supprimer

ACCÈS AUX OBJETS : un descripteur d'objet (fichier ou répertoire) a été demandé avec l'intention de supprimer.

Accès aux fichiers

564/4660

Supprimer l'objet

ACCÈS OBJET : supprimer l'objet (fichier ou répertoire). ONTAP génère cet événement lorsqu'un client Windows tente de supprimer l'objet (fichier ou répertoire).

Accès aux fichiers

567/4663

Lire objet/Ecrire objet/obtenir attributs d'objet/définir attributs d'objet

ACCÈS AUX OBJETS : tentative d'accès aux objets (lecture, écriture, obtenir l'attribut, définir l'attribut).

Remarque : pour cet événement, ONTAP vérifie uniquement la première opération de lecture SMB et la première opération d'écriture SMB (succès ou échec) sur un objet. Cela empêche ONTAP de créer un nombre excessif d'entrées de journal lorsqu'un seul client ouvre un objet et effectue de nombreuses opérations de lecture ou d'écriture successives sur le même objet.

Accès aux fichiers

NA/4664

Lien dur

ACCÈS À L'OBJET : tentative de création d'un lien dur.

Accès aux fichiers

NA/4818

La politique d'accès central proposée n'accorde pas les mêmes autorisations d'accès que la politique d'accès central actuelle

ACCÈS AUX OBJETS : transfert de la stratégie d'accès central.

Accès aux fichiers

Na/NA - ID d'événement Data ONTAP 9999

Renommer l'objet

ACCÈS OBJET : objet renommé. Il s'agit d'un événement ONTAP. Windows ne prend actuellement pas en charge cet événement en tant qu'événement unique.

Accès aux fichiers

Na/NA Data ONTAP ID d'événement 9998

Dissocier l'objet

ACCÈS AUX OBJETS : objet non lié. Il s'agit d'un événement ONTAP. Windows ne prend actuellement pas en charge cet événement en tant qu'événement unique.

Accès aux fichiers

Informations supplémentaires sur l'événement 4656

Le HandleID dans l'audit XML event contient le descripteur de l'objet (fichier ou répertoire) accédé. Le HandleID La balise de l'événement EVTX 4656 contient des informations différentes selon que l'événement ouvert permet de créer un nouvel objet ou d'ouvrir un objet existant :

  • Si l'événement ouvert est une demande ouverte pour créer un nouvel objet (fichier ou répertoire), le HandleID La balise dans l'événement XML d'audit affiche un vide HandleID (par exemple : <Data Name="HandleID">00000000000000;00;00000000;00000000</Data> ).

    Le HandleID Est vide car la demande OUVERTE (pour la création d'un nouvel objet) est auditée avant la création réelle de l'objet et avant qu'un descripteur n'existe. Les événements audités suivants pour le même objet ont le bon descripteur d'objet dans le HandleID balise :

  • Si l'événement ouvert est une demande ouverte d'ouverture d'un objet existant, l'événement d'audit aura le descripteur affecté à cet objet dans le HandleID balise (par exemple : <Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data> ).