Panoramica degli eventi SMB che è possibile verificare
-
PDF del sito di questa documentazione
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
ONTAP può controllare alcuni eventi SMB, inclusi determinati eventi di accesso a file e cartelle, determinati eventi di accesso e disconnessione ed eventi di staging dei criteri di accesso centrale. Sapere quali eventi di accesso è possibile verificare è utile quando si interpretano i risultati dei registri eventi.
I seguenti eventi SMB aggiuntivi possono essere verificati in ONTAP 9.2 e versioni successive:
ID EVENTO (EVT/EVTX) |
Evento |
Descrizione |
Categoria |
4670 |
Le autorizzazioni degli oggetti sono state modificate |
OBJECT ACCESS (ACCESSO A OGGETTI): Autorizzazioni modificate. |
Accesso al file |
4907 |
Le impostazioni di controllo degli oggetti sono state modificate |
OBJECT ACCESS (ACCESSO A OGGETTI): Impostazioni di controllo modificate. |
Accesso al file |
4913 |
La policy di accesso di Object Central è stata modificata |
ACCESSO A OGGETTI: CAP MODIFICATO. |
Accesso al file |
I seguenti eventi SMB possono essere verificati in ONTAP 9.0 e versioni successive:
ID EVENTO (EVT/EVTX) |
Evento |
Descrizione |
Categoria |
540/4624 |
Un account è stato collegato correttamente |
LOGON/LOGOFF: Accesso alla rete (SMB). |
Accesso e disconnessione |
529/4625 |
Impossibile accedere a un account |
LOGON/LOGOFF: Nome utente sconosciuto o password errata. |
Accesso e disconnessione |
530/4625 |
Impossibile accedere a un account |
LOGON/LOGOFF: Limite di tempo per l'accesso all'account. |
Accesso e disconnessione |
531/4625 |
Impossibile accedere a un account |
LOGON/LOGOFF: Account attualmente disattivato. |
Accesso e disconnessione |
532/4625 |
Impossibile accedere a un account |
LOGON/LOGOFF: L'account utente è scaduto. |
Accesso e disconnessione |
533/4625 |
Impossibile accedere a un account |
LOGON/LOGOFF (ACCESSO/DISCONNESSIONE): L'utente non può accedere al computer. |
Accesso e disconnessione |
534/4625 |
Impossibile accedere a un account |
LOGON/LOGOFF: L'utente non ha concesso il tipo di accesso qui. |
Accesso e disconnessione |
535/4625 |
Impossibile accedere a un account |
LOGON/LOGOFF: La password dell'utente è scaduta. |
Accesso e disconnessione |
537/4625 |
Impossibile accedere a un account |
LOGON/LOGOFF: Accesso non riuscito per motivi diversi da quelli sopra indicati. |
Accesso e disconnessione |
539/4625 |
Impossibile accedere a un account |
LOGON/LOGOFF: Account bloccato. |
Accesso e disconnessione |
538/4634 |
Un account è stato disconnesso |
LOGON/LOGOFF: Disconnessione dell'utente locale o di rete. |
Accesso e disconnessione |
560/4656 |
Apri oggetto/Crea oggetto |
ACCESSO A OGGETTI: Oggetto (file o directory) aperto. |
Accesso al file |
563/4659 |
Aprire l'oggetto con l'intento di eliminare |
ACCESSO A OGGETTI: È stato richiesto un handle a un oggetto (file o directory) con l'intento di eliminare. |
Accesso al file |
564/4660 |
Elimina oggetto |
OBJECT ACCESS (ACCESSO A OGGETTI): Elimina oggetto (file o directory). ONTAP genera questo evento quando un client Windows tenta di eliminare l'oggetto (file o directory). |
Accesso al file |
567/4663 |
Read Object/Write Object/Get Object Attributes/Set Object Attributes |
ACCESSO A OGGETTI: Tentativo di accesso a oggetti (lettura, scrittura, attributo get, attributo set). Nota: per questo evento, ONTAP controlla solo la prima operazione di lettura SMB e la prima operazione di scrittura SMB (successo o errore) su un oggetto. Ciò impedisce a ONTAP di creare voci di registro eccessive quando un singolo client apre un oggetto ed esegue molte operazioni di lettura o scrittura successive sullo stesso oggetto. |
Accesso al file |
NA/4664 |
Collegamento rigido |
OBJECT ACCESS (ACCESSO A OGGETTI): Tentativo di creazione di un hard link. |
Accesso al file |
NA/4818 |
Il criterio di accesso centrale proposto non concede le stesse autorizzazioni di accesso del criterio di accesso centrale corrente |
ACCESSO A OGGETTI: Gestione temporanea dei criteri di accesso centrale. |
Accesso al file |
ID evento Data ONTAP NA/NA 9999 |
Rinominare l'oggetto |
ACCESSO AGLI OGGETTI: Oggetto rinominato. Si tratta di un evento ONTAP. Attualmente non è supportato da Windows come singolo evento. |
Accesso al file |
ID evento Data ONTAP NA/NA 9998 |
Scollegare l'oggetto |
ACCESSO A OGGETTI: Oggetto non collegato. Si tratta di un evento ONTAP. Attualmente non è supportato da Windows come singolo evento. |
Accesso al file |
Ulteriori informazioni sull'evento 4656
Il HandleID
tag nell'audit XML
l'evento contiene l'handle dell'oggetto (file o directory) a cui si accede. Il HandleID
Tag per L'evento EVTX 4656 contiene informazioni diverse a seconda che l'evento aperto sia per la creazione di un nuovo oggetto o per l'apertura di un oggetto esistente:
-
Se l'evento open è una richiesta di apertura per creare un nuovo oggetto (file o directory), il
HandleID
Il tag nell'evento XML di audit mostra un valore vuotoHandleID
(ad esempio:<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>
).Il
HandleID
È vuoto perché la richiesta DI APERTURA (per la creazione di un nuovo oggetto) viene controllata prima che avvenga la creazione effettiva dell'oggetto e prima che esista un handle. Gli eventi controllati successivi per lo stesso oggetto hanno il giusto handle di oggetto inHandleID
tag. -
Se l'evento open è una richiesta aperta per aprire un oggetto esistente, l'evento di audit avrà l'handle assegnato di tale oggetto in
HandleID
tag (ad esempio:<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>
).