監査できる SMB イベントの概要
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP は、ファイルおよびフォルダのアクセスイベント、ログオンおよびログオフイベント、集約型アクセスポリシーのステージングイベントなどの SMB イベントを監査できます。どのようなアクセスイベントを監査できるか理解しておくと、イベントログの結果を解釈するときに役立ちます。
ONTAP 9.2 以降では、次の SMB イベントが監査対象として追加されました。
イベント ID ( EVT / EVTX ) |
イベント |
説明 |
カテゴリ |
4670 |
オブジェクト権限が変更されました |
オブジェクトアクセス:権限が変更された。 |
ファイルアクセス |
4907 |
オブジェクトの監査設定が変更されました |
オブジェクトアクセス:監査設定が変更された。 |
ファイルアクセス |
4913 |
オブジェクトの集約型アクセスポリシーが変更されました |
オブジェクトへのアクセス: CAP が変更された。 |
ファイルアクセス |
ONTAP 9.0 以降では、次の SMB イベントを監査できます。
イベント ID ( EVT / EVTX ) |
イベント |
説明 |
カテゴリ |
540/4624 |
アカウントがログオンに成功しました |
ログオン/ログオフ:ネットワーク(SMB)ログオン。 |
ログオンおよびログオフ |
529/4625 |
アカウントがログオンに失敗しました |
ログオン / ログオフ:ユーザ名が不明またはパスワードが無効です。 |
ログオンおよびログオフ |
530/4625 |
アカウントがログオンに失敗しました |
ログオン / ログオフ:アカウントログオンの時間制限です。 |
ログオンおよびログオフ |
531/4625 |
アカウントがログオンに失敗しました |
ログオン / ログオフ:アカウントは現在無効になっています。 |
ログオンおよびログオフ |
532/4625 |
アカウントがログオンに失敗しました |
ログオン / ログオフ:ユーザアカウントの有効期限が切れています。 |
ログオンおよびログオフ |
533/4625 |
アカウントがログオンに失敗しました |
ログオン / ログオフ:ユーザはこのコンピュータにログオンできません。 |
ログオンおよびログオフ |
534/4625 |
アカウントがログオンに失敗しました |
ログオン / ログオフ:ユーザはログオンを許可されていません。 |
ログオンおよびログオフ |
535/4625 |
アカウントがログオンに失敗しました |
ログオン / ログオフ:ユーザのパスワードが期限切れです。 |
ログオンおよびログオフ |
537/4625 |
アカウントがログオンに失敗しました |
ログオン / ログオフ:上記以外の理由でログオンが失敗しました。 |
ログオンおよびログオフ |
539/4625 |
アカウントがログオンに失敗しました |
ログオン / ログオフ:アカウントのロックアウト。 |
ログオンおよびログオフ |
538/4634 |
アカウントがログオフされました |
ログオン / ログオフ:ローカルまたはネットワークユーザのログオフ。 |
ログオンおよびログオフ |
560/4656 |
オブジェクトを開く / オブジェクトを作成 |
オブジェクトへのアクセス:オブジェクト(ファイルまたはディレクトリ)が開きます。 |
ファイルアクセス |
563/4659. |
削除するためにオブジェクトを開く |
オブジェクトへのアクセス:削除するためにオブジェクト(ファイルまたはディレクトリ)へのハンドルが要求された。 |
ファイルアクセス |
564 / 4660 |
オブジェクトを削除します |
オブジェクトへのアクセス:オブジェクト(ファイルまたはディレクトリ)を削除します。ONTAP は、 Windows クライアントがオブジェクト(ファイルまたはディレクトリ)の削除を試みるとこのイベントを生成します。 |
ファイルアクセス |
567/4663 |
オブジェクトの読み取り / オブジェクトの書き込み / オブジェクトの属性の取得 / オブジェクトの属性の設定 |
オブジェクトへのアクセス:オブジェクトへのアクセスの試み(読み取り、書き込み、属性の取得、属性の設定)。
|
ファイルアクセス |
NA / 4664 |
ハードリンク |
オブジェクトへのアクセス:ハードリンクの作成が試行されました。 |
ファイルアクセス |
NA / 4818 |
提案された集約型アクセスポリシーでは、現在の集約型アクセスポリシーと同じアクセス権限が付与されません |
オブジェクトへのアクセス:集約型アクセスポリシーのステージング。 |
ファイルアクセス |
NA / NA Data ONTAP イベント ID 9999 |
オブジェクト名を変更します |
オブジェクトへのアクセス:オブジェクトの名前変更。これは ONTAP イベントです。Windows では現在、単一イベントとしてサポートされていません。 |
ファイルアクセス |
NA/NA Data ONTAPイベントID 9998 |
オブジェクトのリンク解除 |
オブジェクトへのアクセス:オブジェクトのリンクが解除される。これは ONTAP イベントです。Windows では現在、単一イベントとしてサポートされていません。 |
ファイルアクセス |
イベント 4656 に関する追加情報
。 HandleID
監査でタグを付けます XML
イベントには、アクセスされたオブジェクト(ファイルまたはディレクトリ)のハンドルが含まれます。。 HandleID
EVTX 4656イベントのタグには、オープンイベントが新しいオブジェクトを作成するためのものか、既存のオブジェクトを開くためのものかによって、異なる情報が含まれます。
-
openイベントが新しいオブジェクト(ファイルまたはディレクトリ)を作成するためのオープン要求である場合は、
HandleID
監査XMLイベントのタグに空が表示されますHandleID
(例:<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>
)。。
HandleID
が空の理由は、(新しいオブジェクトを作成するための)OPEN要求が、実際のオブジェクトの作成が行われる前、およびハンドルが存在する前に監査されるためです。同じオブジェクトの後続の監査対象イベントは、で適切なオブジェクトハンドルを持ちますHandleID
タグ。 -
オープンイベントが既存のオブジェクトを開くためのオープン要求である場合、監査イベントには、でそのオブジェクトの割り当てられたハンドルが割り当てられます
HandleID
タグ(例:<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>
)。