Affiche les journaux d'événements d'audit
Vous pouvez utiliser les journaux d'événements d'audit pour déterminer si vous disposez de la sécurité adéquate des fichiers et si des tentatives d'accès incorrectes aux fichiers et aux dossiers ont été effectuées. Vous pouvez afficher et traiter les journaux d'événements d'audit enregistrés dans le EVTX
ou XML
formats de fichiers.
-
EVTX
format de fichierVous pouvez ouvrir le converti
EVTX
L'événement d'audit se connecte en tant que fichiers enregistrés à l'aide de Microsoft Event Viewer.Vous pouvez utiliser deux options pour afficher les journaux d'événements à l'aide de l'Observateur d'événements :
-
Vue générale
Les informations communes à tous les événements sont affichées pour l'enregistrement d'événement. Dans cette version de ONTAP, les données spécifiques à l'événement pour l'enregistrement d'événement ne sont pas affichées. Vous pouvez utiliser la vue détaillée pour afficher des données spécifiques à un événement.
-
Vue détaillée
Une vue conviviale et une vue XML sont disponibles. La vue conviviale et la vue XML affichent à la fois les informations communes à tous les événements et les données spécifiques à l'événement pour l'enregistrement d'événement.
-
-
XML
format de fichierVous pouvez afficher et traiter
XML
auditer les journaux d'événements sur des applications tierces prenant en charge leXML
format de fichier. Les outils de visualisation XML peuvent être utilisés pour afficher les journaux d'audit à condition que vous ayez le schéma XML et des informations sur les définitions des champs XML. Pour plus d'informations sur le schéma XML et les définitions, reportez-vous au "Référence de schéma d'audit ONTAP".
Mode d'affichage des journaux d'audit actifs à l'aide de l'Observateur d'événements
Si le processus de consolidation d'audit est exécuté sur le cluster, le processus de consolidation ajoute de nouveaux enregistrements au fichier journal d'audit actif pour les serveurs virtuels de stockage (SVM) activés par audit. Ce journal d'audit actif est accessible et ouvert via un partage SMB dans Microsoft Event Viewer.
En plus d'afficher les enregistrements d'audit existants, Event Viewer dispose d'une option de rafraîchissement qui vous permet d'actualiser le contenu dans la fenêtre de la console. Si les journaux nouvellement ajoutés peuvent être consultés dans l'Observateur d'événements, cela dépend de l'activation ou non des oplocks sur le partage utilisé pour accéder au journal d'audit actif.
Paramètre oplocks sur le partage |
Comportement |
Activé |
Event Viewer ouvre le journal qui contient les événements qui y sont écrits jusqu'à ce point dans le temps. L'opération d'actualisation n'actualise pas le journal avec de nouveaux événements ajoutés par le processus de consolidation. |
Désactivé |
Event Viewer ouvre le journal qui contient les événements qui y sont écrits jusqu'à ce point dans le temps. L'opération d'actualisation actualise le journal avec de nouveaux événements ajoutés par le processus de consolidation. |
Ces informations ne s'appliquent que pour |