ONTAP による代替 NTFS データストリームの監査について学ぶ
変更を提案
PDF
NTFS代替データ ストリームがあるファイルを監査する際には、注意が必要ないくつかの考慮事項があります。
監査対象オブジェクトの場所は、 `ObjectName`タグ(パス)と `HandleID`タグ(ハンドル)という2つのタグを使用してイベントレコードに記録されます。ログに記録されているストリーム要求を正しく識別するには、ONTAP が NTFS 代替データストリームについて以下のフィールドに何を記録するかを把握しておく必要があります:
-
EVTX ID:4656 イベント(監査イベントのオープンと作成)
-
代替データ ストリームのパスは `ObjectName`タグに記録されます。
-
代替データ ストリームのハンドルが
HandleIDタグに記録されます。
-
-
EVTX ID: 4663 イベント(読み取り、書き込み、getattr などのその他のすべての監査イベント)
-
代替データ ストリームではなく、ベース ファイルのパスが `ObjectName`タグに記録されます。
-
代替データ ストリームのハンドルが
HandleIDタグに記録されます。
-
次の例は、 `HandleID`タグを使用して代替データストリームのEVTX ID: 4663イベントを識別する方法を示しています。読み取り監査イベントに記録された `ObjectName`タグ(パス)はベースファイルパスを指していますが、 `HandleID`タグを使用することで、イベントが代替データストリームの監査レコードであることを識別できます。
ストリームファイル名は `base_file_name:stream_name`という形式になります。この例では、 `dir1`ディレクトリには以下のパスを持つ代替データストリームを持つベースファイルが含まれています:
/dir1/file1.txt /dir1/file1.txt:stream1
|
次のイベント例の出力は省略されており、イベントの一部の出力タグは表示されていません。 |
EVTX ID 4656(オープン監査イベント)の場合、代替データ ストリームの監査レコード出力には、 `ObjectName`タグに代替データ ストリーム名が記録されます:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4656</EventID> <EventName>Open Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\> ** [...] </EventData> </Event> - <Event>
EVTX ID 4663(読み取り監査イベント)の場合、同じ代替データストリームの監査レコード出力では、 `ObjectName`タグに基本ファイル名が記録されます。ただし、 `HandleID`タグ内のハンドルは代替データストリームのハンドルであり、このイベントを代替データストリームと関連付けるために使用できます:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4663</EventID> <EventName>Read Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> ** [...] </EventData> </Event> - <Event>