Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPが監査して結果を解釈できるSMBイベントについて学習します

共同作成者 netapp-barbe netapp-sumathi netapp-ahibbard netapp-thomi netapp-aherbin
PDF

ONTAPは、ファイルおよびフォルダのアクセス イベント、ログオンおよびログオフ イベント、集約型アクセス ポリシーのステージング イベントなどのSMBイベントを監査できます。どのようなアクセス イベントを監査できるか理解しておくと、イベント ログの結果を解釈するときに役立ちます。

次の追加の SMB イベントを監査できます:

イベント ID(EVT/EVTX)

イベント

概要

カテゴリ

4670

オブジェクト権限の変更

オブジェクト アクセス:権限が変更されました。

ファイル アクセス

4907

オブジェクトの監査設定の変更

オブジェクト アクセス:監査設定が変更されました。

ファイル アクセス

4913

オブジェクトの集約型アクセス ポリシーの変更

オブジェクト アクセス:CAP が変更されました。

ファイル アクセス

ONTAP 9.0以降では、次のSMBイベントを監査できます。

イベント ID(EVT/EVTX)

イベント

概要

カテゴリ

540/4624

アカウントがログオンに成功

ログオン/ログオフ:ネットワーク(SMB)ログオン。

ログオンおよびログオフ

529/4625

アカウントがログオンに失敗

ログオン/ログオフ:ユーザー名が不明であるか、パスワードが間違っています。

ログオンおよびログオフ

530/4625

アカウントがログオンに失敗

ログオン/ログオフ:アカウントのログオン時間の制限。

ログオンおよびログオフ

531/4625

アカウントがログオンに失敗

LOGON/LOGOFF:アカウントは現在無効です。

ログオンおよびログオフ

532/4625

アカウントがログオンに失敗

ログオン/ログオフ:ユーザー アカウントの有効期限が切れています。

ログオンおよびログオフ

533/4625

アカウントがログオンに失敗

ログオン/ログオフ:ユーザーはこのコンピューターにログオンできません。

ログオンおよびログオフ

534/4625

アカウントがログオンに失敗

ログオン/ログオフ:ここではユーザーにログオン タイプが許可されていません。

ログオンおよびログオフ

535/4625

アカウントがログオンに失敗

ログオン/ログオフ:ユーザーのパスワードの有効期限が切れています。

ログオンおよびログオフ

537/4625

アカウントがログオンに失敗

LOGON/LOGOFF:上記以外の理由によりログオンに失敗しました。

ログオンおよびログオフ

539/4625

アカウントがログオンに失敗

ログオン/ログオフ:アカウントがロックアウトされています。

ログオンおよびログオフ

538/4634

アカウントがログオフ

ログオン/ログオフ:ローカルまたはネットワーク ユーザーのログオフ。

ログオンおよびログオフ

560/4656

オブジェクトのオープン / オブジェクトの作成

オブジェクト アクセス:オブジェクト(ファイルまたはディレクトリ)が開いています。

ファイル アクセス

563/4659

削除するためのオブジェクトのオープン

オブジェクト アクセス:削除の意図を持ってオブジェクト(ファイルまたはディレクトリ)へのハンドルが要求されました。

ファイル アクセス

564/4660

オブジェクトの削除

オブジェクト アクセス:オブジェクト(ファイルまたはディレクトリ)の削除。Windows クライアントがオブジェクト(ファイルまたはディレクトリ)を削除しようとしたときに、ONTAP はこのイベントを生成します。

ファイル アクセス

567/4663

オブジェクトの読み取り / オブジェクトの書き込み / オブジェクトの属性の取得 / オブジェクトの属性の設定

オブジェクト アクセス:オブジェクト アクセスの試行(読み取り、書き込み、属性の取得、属性の設定)。

注: このイベントでは、ONTAPはオブジェクトに対する最初のSMB読み取り操作と最初のSMB書き込み操作(成功または失敗)のみを監査します。これにより、単一のクライアントがオブジェクトを開き、同じオブジェクトに対して多数の読み取りまたは書き込み操作を連続して実行した場合に、ONTAPが過剰なログエントリを作成することを回避できます。

ファイル アクセス

NA / 4664

ハード リンク

オブジェクト アクセス:ハード リンクを作成しようとしました。

ファイル アクセス

NA / 4818

提案された集約型アクセス ポリシーで現在の集約型アクセス ポリシーと同じアクセス権限が許可されない

オブジェクト アクセス:Central Access Policy のステージング。

ファイル アクセス

NA / NA Data ONTAP イベントID 9999

オブジェクトの名前変更

オブジェクトアクセス:オブジェクト名が変更されました。これはONTAPイベントです。現在、Windowsでは単一のイベントとしてはサポートされていません。

ファイル アクセス

NA / NA Data ONTAP イベントID 9998

オブジェクトのリンク解除

オブジェクト アクセス:オブジェクトのリンクが解除されました。これは ONTAP イベントです。現在、Windows では単一のイベントとしてはサポートされていません。

ファイル アクセス

イベント4656に関する補足情報

監査 `XML`イベントの `HandleID`タグには、アクセスされたオブジェクト(ファイルまたはディレクトリ)のハンドルが含まれます。EVTX 4656イベントの `HandleID`タグには、オープンイベントが新しいオブジェクトの作成用か、既存のオブジェクトを開く用かによって異なる情報が含まれます。

  • オープン イベントが新しいオブジェクト(ファイルまたはディレクトリ)を作成するためのオープン要求である場合、監査 XML イベント内の HandleID`タグには空の `HandleID`が表示されます(例: `<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>)。

    `HandleID`は空です。これは、OPEN(新しいオブジェクトを作成するための)要求が、実際のオブジェクト作成が発生する前、およびハンドルが存在する前に監査されるためです。同じオブジェクトに対する後続の監査イベントには、 `HandleID`タグ内に正しいオブジェクトハンドルがあります。

  • オープン イベントが既存のオブジェクトを開くためのオープン要求である場合、監査イベントには、そのオブジェクトの割り当てられたハンドルが HandleID`タグ内に含まれます(例: `<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>)。