Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Ulteriori informazioni sugli eventi SMB che ONTAP può controllare per interpretare i risultati

Collaboratori netapp-barbe netapp-sumathi netapp-ahibbard netapp-thomi netapp-aherbin
PDF

ONTAP può controllare alcuni eventi SMB, inclusi determinati eventi di accesso a file e cartelle, determinati eventi di accesso e disconnessione ed eventi di staging dei criteri di accesso centrale. Sapere quali eventi di accesso è possibile verificare è utile quando si interpretano i risultati dei registri eventi.

È possibile controllare i seguenti eventi SMB aggiuntivi:

ID EVENTO (EVT/EVTX)

Evento

Descrizione

Categoria

4670

Le autorizzazioni degli oggetti sono state modificate

OBJECT ACCESS (ACCESSO A OGGETTI): Autorizzazioni modificate.

Accesso al file

4907

Le impostazioni di controllo degli oggetti sono state modificate

OBJECT ACCESS (ACCESSO A OGGETTI): Impostazioni di controllo modificate.

Accesso al file

4913

La policy di accesso di Object Central è stata modificata

ACCESSO A OGGETTI: CAP MODIFICATO.

Accesso al file

I seguenti eventi SMB possono essere verificati in ONTAP 9.0 e versioni successive:

ID EVENTO (EVT/EVTX)

Evento

Descrizione

Categoria

540/4624

Un account è stato collegato correttamente

LOGON/LOGOFF: Accesso alla rete (SMB).

Accesso e disconnessione

529/4625

Impossibile accedere a un account

LOGON/LOGOFF: Nome utente sconosciuto o password errata.

Accesso e disconnessione

530/4625

Impossibile accedere a un account

LOGON/LOGOFF: Limite di tempo per l'accesso all'account.

Accesso e disconnessione

531/4625

Impossibile accedere a un account

LOGON/LOGOFF: Account attualmente disattivato.

Accesso e disconnessione

532/4625

Impossibile accedere a un account

LOGON/LOGOFF: L'account utente è scaduto.

Accesso e disconnessione

533/4625

Impossibile accedere a un account

LOGON/LOGOFF (ACCESSO/DISCONNESSIONE): L'utente non può accedere al computer.

Accesso e disconnessione

534/4625

Impossibile accedere a un account

LOGON/LOGOFF: L'utente non ha concesso il tipo di accesso qui.

Accesso e disconnessione

535/4625

Impossibile accedere a un account

LOGON/LOGOFF: La password dell'utente è scaduta.

Accesso e disconnessione

537/4625

Impossibile accedere a un account

LOGON/LOGOFF: Accesso non riuscito per motivi diversi da quelli sopra indicati.

Accesso e disconnessione

539/4625

Impossibile accedere a un account

LOGON/LOGOFF: Account bloccato.

Accesso e disconnessione

538/4634

Un account è stato disconnesso

LOGON/LOGOFF: Disconnessione dell'utente locale o di rete.

Accesso e disconnessione

560/4656

Apri oggetto/Crea oggetto

ACCESSO A OGGETTI: Oggetto (file o directory) aperto.

Accesso al file

563/4659

Aprire l'oggetto con l'intento di eliminare

ACCESSO A OGGETTI: È stato richiesto un handle a un oggetto (file o directory) con l'intento di eliminare.

Accesso al file

564/4660

Elimina oggetto

OBJECT ACCESS (ACCESSO A OGGETTI): Elimina oggetto (file o directory). ONTAP genera questo evento quando un client Windows tenta di eliminare l'oggetto (file o directory).

Accesso al file

567/4663

Read Object/Write Object/Get Object Attributes/Set Object Attributes

ACCESSO A OGGETTI: Tentativo di accesso a oggetti (lettura, scrittura, attributo get, attributo set).

Nota: per questo evento, ONTAP controlla solo la prima operazione di lettura SMB e la prima operazione di scrittura SMB (successo o errore) su un oggetto. Ciò impedisce a ONTAP di creare voci di registro eccessive quando un singolo client apre un oggetto ed esegue molte operazioni di lettura o scrittura successive sullo stesso oggetto.

Accesso al file

NA/4664

Collegamento rigido

OBJECT ACCESS (ACCESSO A OGGETTI): Tentativo di creazione di un hard link.

Accesso al file

NA/4818

Il criterio di accesso centrale proposto non concede le stesse autorizzazioni di accesso del criterio di accesso centrale corrente

ACCESSO A OGGETTI: Gestione temporanea dei criteri di accesso centrale.

Accesso al file

ID evento Data ONTAP NA/NA 9999

Rinominare l'oggetto

ACCESSO AGLI OGGETTI: Oggetto rinominato. Si tratta di un evento ONTAP. Attualmente non è supportato da Windows come singolo evento.

Accesso al file

ID evento Data ONTAP NA/NA 9998

Scollegare l'oggetto

ACCESSO A OGGETTI: Oggetto non collegato. Si tratta di un evento ONTAP. Attualmente non è supportato da Windows come singolo evento.

Accesso al file

Ulteriori informazioni sull'evento 4656

Il HandleID tag nell'audit XML l'evento contiene l'handle dell'oggetto (file o directory) a cui si accede. Il HandleID Tag per L'evento EVTX 4656 contiene informazioni diverse a seconda che l'evento aperto sia per la creazione di un nuovo oggetto o per l'apertura di un oggetto esistente:

  • Se l'evento open è una richiesta di apertura per creare un nuovo oggetto (file o directory), il HandleID Il tag nell'evento XML di audit mostra un valore vuoto HandleID (ad esempio: <Data Name="HandleID">00000000000000;00;00000000;00000000</Data> ).

    Il HandleID È vuoto perché la richiesta DI APERTURA (per la creazione di un nuovo oggetto) viene controllata prima che avvenga la creazione effettiva dell'oggetto e prima che esista un handle. Gli eventi controllati successivi per lo stesso oggetto hanno il giusto handle di oggetto in HandleID tag.

  • Se l'evento open è una richiesta aperta per aprire un oggetto esistente, l'evento di audit avrà l'handle assegnato di tale oggetto in HandleID tag (ad esempio: <Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data> ).