代替NTFSデータストリームを監査する際の考慮事項
変更を提案
PDF
NTFS代替データストリームを含むファイルを監査する場合は、一定の考慮事項に注意する必要があります。
監査対象のオブジェクトの場所は、タグ(パス)とタグ(ハンドル)の HandleID`2つのタグを使用してイベントレコードに記録されます `ObjectName。ログに記録されているストリーム要求を適切に識別するには、NTFS代替データストリームの次のフィールドにONTAPが記録するものに注意する必要があります。
-
EVTX ID : 4656 のイベント(オープンおよび作成の監査イベント)
-
代替データストリームのパスはタグに記録され `ObjectName`ます。
-
代替データストリームのハンドルはタグに記録され `HandleID`ます。
-
-
EVTX ID : 4663 のイベント(読み取り、書き込み、属性の取得など、その他すべての監査イベント)
-
代替データストリームではなく、ベースファイルのパスがタグに記録され `ObjectName`ます。
-
代替データストリームのハンドルはタグに記録され `HandleID`ます。
-
次の例は、タグを使用して代替データストリームのEVTX ID:4663イベントを特定する方法を示してい `HandleID`ます。 `ObjectName`読み取り監査イベントで記録されたタグ(パス)はベースファイルパスに対するものですが、 `HandleID`タグを使用すると、代替データストリームの監査レコードとしてイベントを識別できます。
ストリームファイル名はの形式になり `base_file_name:stream_name`ます。この例では、 `dir1`次のパスを持つ代替データストリームを持つベースファイルがディレクトリに含まれています。
/dir1/file1.txt /dir1/file1.txt:stream1
|
次のイベント例の出力は、示されているように省略されています。出力には、イベントで使用可能なすべての出力タグが表示されるわけではありません。 |
EVTX ID 4656(オープン監査イベント)の場合、代替データストリームの監査レコード出力では、代替データストリーム名がタグに記録され `ObjectName`ます。
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4656</EventID> <EventName>Open Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\> ** [...] </EventData> </Event> - <Event>
EVTX ID 4663(読み取り監査イベント)の場合、同じ代替データストリームの監査レコード出力では、ベースファイル名がタグに記録され `ObjectName`ます。ただし、タグ内のハンドルは `HandleID`代替データストリームのハンドルであり、このイベントを代替データストリームと関連付けるために使用できます。
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4663</EventID> <EventName>Read Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> ** [...] </EventData> </Event> - <Event>