Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

カンサテキルSMBイヘントノカイヨウ

共同作成者
PDF

ONTAPでは、ファイルおよびフォルダのアクセスイベント、ログオンおよびログオフイベント、集約型アクセスポリシーのステージングイベントなど、特定のSMBイベントを監査できます。どのアクセスイベントを監査できるかを把握しておくと、イベントログの結果を解釈するときに役立ちます。

ONTAP 9 .2以降では、さらに次のSMBイベントを監査できます。

イベント ID ( EVT / EVTX )

イベント

説明

カテゴリ

4670

オブジェクト権限の変更

オブジェクトアクセス:権限が変更された。

ファイルアクセス

4907

オブジェクトの監査設定の変更

オブジェクトアクセス:監査設定が変更された。

ファイルアクセス

4913

オブジェクトの集約型アクセスポリシーの変更

オブジェクトへのアクセス: CAP が変更された。

ファイルアクセス

ONTAP 9 .0以降では、次のSMBイベントを監査できます。

イベント ID ( EVT / EVTX )

イベント

説明

カテゴリ

540/4624

アカウントが正常にログオンしました

ログオン/ログオフ:ネットワーク(SMB)ログオン。

ログオンおよびログオフ

529/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザ名が不明またはパスワードが無効です。

ログオンおよびログオフ

530/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:アカウントログオンの時間制限です。

ログオンおよびログオフ

531/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:アカウントは現在無効になっています。

ログオンおよびログオフ

532/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザアカウントの有効期限が切れています。

ログオンおよびログオフ

533/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザはこのコンピュータにログオンできません。

ログオンおよびログオフ

534/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザはログオンを許可されていません。

ログオンおよびログオフ

535/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザのパスワードが期限切れです。

ログオンおよびログオフ

537/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:上記以外の理由でログオンが失敗しました。

ログオンおよびログオフ

539/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:アカウントのロックアウト。

ログオンおよびログオフ

538/4634

アカウントがログオフされました

ログオン / ログオフ:ローカルまたはネットワークユーザのログオフ。

ログオンおよびログオフ

560/4656

オブジェクトを開く/オブジェクトを作成

オブジェクトへのアクセス:オブジェクト(ファイルまたはディレクトリ)が開きます。

ファイルアクセス

563/4659

削除するためのオブジェクトを開く

オブジェクトへのアクセス:削除するためにオブジェクト(ファイルまたはディレクトリ)へのハンドルが要求された。

ファイルアクセス

564 / 4660

オブジェクトの削除

オブジェクトへのアクセス:オブジェクト(ファイルまたはディレクトリ)を削除します。ONTAPは、Windowsクライアントがオブジェクト(ファイルまたはディレクトリ)を削除しようとしたときにこのイベントを生成します。

ファイルアクセス

567/4663

オブジェクトの読み取り / オブジェクトの書き込み / オブジェクトの属性の取得 / オブジェクトの属性の設定

オブジェクトへのアクセス:オブジェクトへのアクセスの試み(読み取り、書き込み、属性の取得、属性の設定)。

  • 注: * このイベントでは、 ONTAP はオブジェクトに対する最初の SMB 読み取り操作と SMB 書き込み操作(の成功または失敗)を監査します。これにより、単一のクライアントがオブジェクトを開き、同じオブジェクトに対して連続して多数の読み取りまたは書き込み処理を実行しても、ONTAPが過剰なログエントリを作成するのを防ぐことができます。

ファイルアクセス

NA / 4664

ハードリンク

オブジェクトへのアクセス:ハードリンクの作成が試行されました。

ファイルアクセス

NA / 4818

提案された集約型アクセスポリシーで現在の集約型アクセスポリシーと同じアクセス権限が付与されない

オブジェクトへのアクセス:集約型アクセスポリシーのステージング。

ファイルアクセス

NA/NA Data ONTAPイベントID 9999

オブジェクトの名前変更

オブジェクトへのアクセス:オブジェクトの名前変更。これはONTAPイベントです。Windowsでは現在、単一イベントとしてサポートされていません。

ファイルアクセス

NA/NA Data ONTAPイベントID 9998

オブジェクトのリンク解除

オブジェクトへのアクセス:オブジェクトのリンクが解除される。これはONTAPイベントです。Windowsでは現在、単一イベントとしてサポートされていません。

ファイルアクセス

イベント4656に関する追加情報

`HandleID`監査イベントのタグ `XML`には、アクセスされたオブジェクト(ファイルまたはディレクトリ)のハンドルが含まれています。 `HandleID`EVTX 4656イベントのタグには、オープンイベントが新しいオブジェクトを作成するためのものか、既存のオブジェクトを開くためのものかによって、異なる情報が含まれます。

  • openイベントが新しいオブジェクト(ファイルまたはディレクトリ)を作成するためのオープン要求である場合、監査XMLイベントのタグには HandleID`空(例: `<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>)が表示されます HandleID

    HandleID`空になっているのは、(新しいオブジェクトを作成するための)OPEN要求が、実際のオブジェクトの作成が行われる前、およびハンドルが存在する前に監査されるためです。同じオブジェクトの後続の監査対象イベントは、タグ内に適切なオブジェクトハンドルを持ちます `HandleID

  • openイベントが既存のオブジェクトを開くためのオープン要求である場合、監査イベントにはそのオブジェクトの割り当てられたハンドルがタグに含まれ HandleID`ます(例: `<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>)。