日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

監査できる SMB イベントの概要

寄稿者

ONTAP は、ファイルおよびフォルダのアクセスイベント、ログオンおよびログオフイベント、集約型アクセスポリシーのステージングイベントなどの SMB イベントを監査できます。どのようなアクセスイベントを監査できるか理解しておくと、イベントログの結果を解釈するときに役立ちます。

ONTAP 9.2 以降では、次の SMB イベントが監査対象として追加されました。

イベント ID ( EVT / EVTX )

イベント

説明

カテゴリ

4670

オブジェクト権限が変更されました

オブジェクトアクセス:権限が変更された。

ファイルアクセス

4907

オブジェクトの監査設定が変更されました

オブジェクトアクセス:監査設定が変更された。

ファイルアクセス

4913

オブジェクトの集約型アクセスポリシーが変更されました

オブジェクトへのアクセス: CAP が変更された。

ファイルアクセス

ONTAP 9.0 以降では、次の SMB イベントを監査できます。

イベント ID ( EVT / EVTX )

イベント

説明

カテゴリ

540/4624

アカウントがログオンに成功しました

ログオン / ログオフ:ネットワーク( CIFS )ログオン。

ログオンおよびログオフ

529/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザ名が不明またはパスワードが無効です。

ログオンおよびログオフ

530/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:アカウントログオンの時間制限です。

ログオンおよびログオフ

531/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:アカウントは現在無効になっています。

ログオンおよびログオフ

532/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザアカウントの有効期限が切れています。

ログオンおよびログオフ

533/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザはこのコンピュータにログオンできません。

ログオンおよびログオフ

534/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザはログオンを許可されていません。

ログオンおよびログオフ

535/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザのパスワードが期限切れです。

ログオンおよびログオフ

537/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:上記以外の理由でログオンが失敗しました。

ログオンおよびログオフ

539/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:アカウントのロックアウト。

ログオンおよびログオフ

538/4634

アカウントがログオフされました

ログオン / ログオフ:ローカルまたはネットワークユーザのログオフ。

ログオンおよびログオフ

560/4656

オブジェクトを開く / オブジェクトを作成

オブジェクトへのアクセス:オブジェクト(ファイルまたはディレクトリ)が開きます。

ファイルアクセス

563/4659.

削除するためにオブジェクトを開く

オブジェクトへのアクセス:削除するためにオブジェクト(ファイルまたはディレクトリ)へのハンドルが要求された。

ファイルアクセス

564/4660

オブジェクトを削除します

オブジェクトへのアクセス:オブジェクト(ファイルまたはディレクトリ)を削除します。ONTAP は、 Windows クライアントがオブジェクト(ファイルまたはディレクトリ)の削除を試みるとこのイベントを生成します。

ファイルアクセス

567/4663

オブジェクトの読み取り / オブジェクトの書き込み / オブジェクトの属性の取得 / オブジェクトの属性の設定

オブジェクトへのアクセス:オブジェクトへのアクセスの試み(読み取り、書き込み、属性の取得、属性の設定)。

  • 注: * このイベントでは、 ONTAP はオブジェクトに対する最初の SMB 読み取り操作と SMB 書き込み操作(の成功または失敗)を監査します。これにより、 1 つのクライアントが、あるオブジェクトを開き、そのオブジェクトに対して連続的に多数の読み取りまたは書き込みを行っても、 ONTAP が余計にログエントリを書き込むことがなくなります。

ファイルアクセス

NA / 4664

ハードリンク

オブジェクトへのアクセス:ハードリンクの作成が試行されました。

ファイルアクセス

NA / 4818

提案された集約型アクセスポリシーでは、現在の集約型アクセスポリシーと同じアクセス権限が付与されません

オブジェクトへのアクセス:集約型アクセスポリシーのステージング。

ファイルアクセス

NA / NA Data ONTAP イベント ID 9999

オブジェクト名を変更します

オブジェクトへのアクセス:オブジェクトの名前変更。これは ONTAP イベントです。Windows では現在、単一イベントとしてサポートされていません。

ファイルアクセス

NA / NA Data ONTAP イベント ID 9998

オブジェクトのリンク解除

オブジェクトへのアクセス:オブジェクトのリンクが解除される。これは ONTAP イベントです。Windows では現在、単一イベントとしてサポートされていません。

ファイルアクセス

イベント 4656 に関する追加情報

監査 XML イベント内の HandleID タグには ' アクセスされたオブジェクト(ファイルまたはディレクトリ)のハンドルが格納されていますEVTX 4656 イベントの「 HandleID 」タグには、オープンイベントが新規オブジェクトを作成するためのものか、既存のオブジェクトを開くためのものかによって、異なる情報が含まれています。

  • オープンイベントが新規オブジェクト(ファイルまたはディレクトリ)を作成するためのオープン要求である場合、監査 XML イベント内の HandleID tag は空の HandleID を表示します(例: <Data Name="HandleID ">0000000000;00;00000000 </Data> )。

    `HandleID が空になっているのは、(新規オブジェクト作成のための) OPEN 要求の監査は、実際のオブジェクト作成が行われる前、かつハンドルが存在する前に行われるからです。同じオブジェクトの後続の監査対象イベントでは 'HandleID タグに適切なオブジェクト・ハンドルが格納されます

  • オープンイベントが既存のオブジェクトを開くためのオープン要求である場合、監査イベントには、 HandleID タグにそのオブジェクトの割り当て済みハンドルが格納されます(例: <Data Name="HandleID ">00000000000401 ; 00 ; 000000ea ; 00123ed4</Data>` )。